【文章內容簡介】 ost Based) 入侵檢測系統(tǒng) 、 基于網(wǎng)絡型 (Network Based) 入侵檢測系統(tǒng)和基于代理型 (Agent Based) 入侵檢測系統(tǒng) 。 1. 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志 、 應用程序日志等審計記錄文件作為數(shù)據(jù)源 。 它是通過比較這些審計記錄文件的記錄與攻擊簽名 (Attack Signature， 指用一種特定的方式來表示已知的攻擊模式 )以發(fā)現(xiàn)它們是否匹配 。 如果匹配 ， 檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報警并采取相應的行動 。 基于主機的 IDS可以精確地判斷入侵事件 ， 并可對入侵事件及時做出反應 。 它還可針對不同操作系統(tǒng)的特點判斷應用層的入侵事件 。 基于主機的 IDS有著明顯的優(yōu)點： l 適合于加密和交換環(huán)境； l 可實時的檢測和響應； l 不需要額外的硬件 。 基于主機的入侵檢測系統(tǒng)對系統(tǒng)內在的結構卻沒有任何約束 ， 同時可以利用操作系統(tǒng)本身提供的功能 ， 并結合異常檢測分析 ， 更能準確的報告攻擊行為 。 基于主機的入侵檢測系統(tǒng)存在的不足之處在于：會占用主機的系統(tǒng)資源，增加系統(tǒng)負荷，而且針對不同的操作平臺必須開發(fā)出不同的程序，另外所需配置的數(shù)量眾多。 河南化工職業(yè)學院 2. 基于網(wǎng)絡的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)把原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源 。 利用網(wǎng)絡適配器來實時地監(jiān)視并分析通過網(wǎng)絡進行傳輸?shù)乃型ㄐ艠I(yè)務 。它的攻擊識別模塊進行攻擊簽名識別的方法有：模式 、 表達式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關性處理；統(tǒng)計異常檢測 。一旦檢測到攻擊 ， IDS的響應模塊通過通知 、 報警以及中斷連接等方式來對攻擊行為做出反應 。 然而它只能監(jiān)視通過本網(wǎng)段的活動 ， 并且精確度較差 ， 在交換網(wǎng)絡環(huán)境中難于配置 ， 防欺騙的能力也比較差 。 其優(yōu)勢有： l 成本低； l 攻擊者轉移證據(jù)困難； l 實時檢測和響應； l 能夠檢測到未成功的攻擊企圖； l與操作系統(tǒng)無關 。 河南化工職業(yè)學院 3. 基于代理的入侵檢測系統(tǒng) 基于代理的入侵檢測系統(tǒng)用于監(jiān)視大型網(wǎng)絡系統(tǒng)。隨著網(wǎng)絡系統(tǒng)的復雜化和大型化，系統(tǒng)弱點趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點，所以不同的 IDS之間需要共享信息，協(xié)同檢測。整個系統(tǒng)可以由一個中央監(jiān)視器和多個代理組成。中央監(jiān)視器負責對整個監(jiān)視系統(tǒng)的管理，它應該處于一個相對安全的地方。代理則被安放在被監(jiān)視的主機上 (如服務器、交換機、路由器等 )。代理負責對某一主機的活動進行監(jiān)視，如收集主機運行時的審計數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。代理也可以接受中央監(jiān)控器的指令。這種系統(tǒng)的優(yōu)點是可以對大型分布式網(wǎng)絡進行檢測。 河南化工職業(yè)學院 入侵檢測系統(tǒng)的部署 ? 定義 IDS的目標 ? 不同的組網(wǎng)應用可能使用不同的規(guī)則配置，所以用戶在配置人侵檢測系統(tǒng)前應先明確自己的目標，建議從如下幾個方面進行考慮。 (1)明確網(wǎng)絡拓撲需求。 (2)安全策略需求。 ? (3)1DS的管理需求。 河南化工職業(yè)學院 選擇監(jiān)視內容 1）選擇監(jiān)視的網(wǎng)絡區(qū)域 2）選擇監(jiān)視的數(shù)據(jù)包的類型 3）根據(jù)網(wǎng)絡數(shù)據(jù)包的內容進行檢測 一般來說，不同的入侵檢測系統(tǒng)采用不同的方法來監(jiān)視網(wǎng)絡數(shù)據(jù)包的內容，例如可以采用先根據(jù)網(wǎng)絡協(xié)議來選擇入侵特征規(guī)則進行檢測，然后再根據(jù)此協(xié)議數(shù)據(jù)包中的字符特征進行檢測。 河南化工職業(yè)學院 部署 IDS ? 1)只檢測內部網(wǎng)絡和外部網(wǎng)絡邊界流量的 IDS系統(tǒng)的部署 ? 在小型網(wǎng)絡結構中，如果內部網(wǎng)絡是可以信任的，那么只需要監(jiān)控內部網(wǎng)絡和外部網(wǎng)絡的邊界流量。這種情況下，入侵檢測系統(tǒng)部署在出口路由器或防火墻的后面，用來監(jiān)控網(wǎng)絡入口處所有流入和流出網(wǎng)絡的流量，網(wǎng)絡拓撲結構可按照圖 。 ? 在圖 ， IDS被部署在內部網(wǎng)絡與 Inter的出口處，IDS設備的監(jiān)聽口連接到了內部網(wǎng)絡出口處的交換機(Switch)鏡像接口上，從而可以捕獲到交換機鏡像接口的網(wǎng)絡流量。 ? 管理員可以通過命令行方式 (Console、 Tel或 SSH)或Web方式 (HTTP或 HTTPS)遠程登錄到 IDS管理接口并對設備進行配置管理。 ? 圖 ，也節(jié)約了投資成本，適合中小規(guī)模企業(yè)的網(wǎng)絡安全應用。 河南化工職業(yè)學院 河南化工職業(yè)學院 ? 2)集中監(jiān)控多個子網(wǎng)流量 ? 在這種組網(wǎng)情況下，內部局域網(wǎng)中劃分了多個不同職能的子網(wǎng)，有些子網(wǎng)訪問某些子網(wǎng)資源量希望受到監(jiān)控和保護，假設具體進行監(jiān)控。 (1)需要對關鍵子網(wǎng) LAN1的流量進行監(jiān)控。 (2)LAN2子網(wǎng)了放置了各種服務器，因此對LAN2的所有流量也需要進行監(jiān)控。 (3)網(wǎng)絡管理員要能夠集中監(jiān)控網(wǎng)絡的流量和異常情況。 ? 在這種情況下，含 IDS的網(wǎng)絡拓撲如圖 。 河南化工職業(yè)學院 河南化工職業(yè)學院 入侵檢測系統(tǒng)的選型 ? 異常檢測模型的基本原理 ? 異常檢測，也被稱為基于行為的檢測。其基本前提是假定所有的入侵行為都是異常的。其基本原理是，首先建立系統(tǒng)或用戶的 正常行為特征輪廓，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。而不是依賴于具體行為是否出現(xiàn)來進行檢測的，從這個意義上來講，異常檢測是一種間接的方法。 河南化工職業(yè)學院 ? 異常檢測的關鍵技術 ? l) 特征量的選擇 ? 異常檢測首先是要建立系統(tǒng)或用戶的 正常 行為特征輪廓，這就要求在建立正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用節(jié)隨行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。例如，可以檢測磁盤的轉速是否在常， CPU是否無故超頻等異常現(xiàn)象。 ? 2) 參考闊值的選定 ? 因為在實際的網(wǎng)絡環(huán)境下，入侵行為和異