【文章內(nèi)容簡介】 含有攻擊的企圖 ， 通過各種手段向管理員報警 。 IDS是主動保護自己免受攻擊的一種網(wǎng)絡安全技術。 IDS對網(wǎng)絡或系統(tǒng)上的可疑行為做出相應的反應，及時切斷入侵源，保護現(xiàn)場并通過各種途徑通知網(wǎng)絡管理員，增大保障系統(tǒng)安全。 河南化工職業(yè)學院 入侵檢測系統(tǒng)由數(shù)據(jù)收集、數(shù)據(jù)提取、數(shù)據(jù)分析、事件處理等幾個部份組成。 (1) 數(shù)據(jù)收集 入侵檢測的第一步是數(shù)據(jù)收集 ， 內(nèi)容包括系統(tǒng) 、 網(wǎng)絡運行 、 數(shù)據(jù)及用戶活動的狀態(tài)和行為 ， 而且 ， 需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點 （ 不同網(wǎng)段和不同主機 ） 收集數(shù)據(jù) 。 入侵檢測很大程度上依賴于收集數(shù)據(jù)的準確性與可靠性 ， 因此 ， 必須使用精確的軟件來報告這些信息 ， 因為黑客經(jīng)常替換軟件以搞混和移走這些數(shù)據(jù) ， 例如替換被程序調(diào)用的子程序 、 庫和其它工具 。 數(shù)據(jù)的收集主要來源以下幾個方面：系統(tǒng)和網(wǎng)絡日志文件 、 目錄和文件不期望的改變 、 程序不期望的行為 、 物理形式的入侵數(shù)據(jù) 。 (2)數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù) ， 以供數(shù)據(jù)分析之用 。 (3)數(shù)據(jù)分析 對收集到的有關系統(tǒng) 、 網(wǎng)絡運行 、 數(shù)據(jù)及用戶活動的狀態(tài)和行為等數(shù)據(jù)通過三種技術手段進行分析：模塊匹配 、 統(tǒng)計分析和完整性分析 。 (4)結果處理 記錄入侵事件，同時采取報警、中斷連接等措施。 河南化工職業(yè)學院 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng) (IDS)可以分成 3類：基于主機型 (Host Based) 入侵檢測系統(tǒng) 、 基于網(wǎng)絡型 (Network Based) 入侵檢測系統(tǒng)和基于代理型 (Agent Based) 入侵檢測系統(tǒng) 。 1. 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志 、 應用程序日志等審計記錄文件作為數(shù)據(jù)源 。 它是通過比較這些審計記錄文件的記錄與攻擊簽名 (Attack Signature， 指用一種特定的方式來表示已知的攻擊模式 )以發(fā)現(xiàn)它們是否匹配 。 如果匹配 ， 檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報警并采取相應的行動 。 基于主機的 IDS可以精確地判斷入侵事件 ， 并可對入侵事件及時做出反應 。 它還可針對不同操作系統(tǒng)的特點判斷應用層的入侵事件 。 基于主機的 IDS有著明顯的優(yōu)點： l 適合于加密和交換環(huán)境； l 可實時的檢測和響應； l 不需要額外的硬件 。 基于主機的入侵檢測系統(tǒng)對系統(tǒng)內(nèi)在的結構卻沒有任何約束 ， 同時可以利用操作系統(tǒng)本身提供的功能 ， 并結合異常檢測分析 ， 更能準確的報告攻擊行為 。 基于主機的入侵檢測系統(tǒng)存在的不足之處在于：會占用主機的系統(tǒng)資源，增加系統(tǒng)負荷，而且針對不同的操作平臺必須開發(fā)出不同的程序，另外所需配置的數(shù)量眾多。 河南化工職業(yè)學院 2. 基于網(wǎng)絡的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)把原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源 。 利用網(wǎng)絡適配器來實時地監(jiān)視并分析通過網(wǎng)絡進行傳輸?shù)乃型ㄐ艠I(yè)務 。它的攻擊識別模塊進行攻擊簽名識別的方法有：模式 、 表達式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關性處理；統(tǒng)計異常檢測 。一旦檢測到攻擊 ， IDS的響應模塊通過通知 、 報警以及中斷連接等方式來對攻擊行為做出反應 。 然而它只能監(jiān)視通過本網(wǎng)段的活動 ， 并且精確度較差 ， 在交換網(wǎng)絡環(huán)境中難于配置 ， 防欺騙的能力也比較差 。 其優(yōu)勢有： l 成本低； l 攻擊者轉(zhuǎn)移證據(jù)困難； l 實時檢測和響應； l 能夠檢測到未成功的攻擊企圖； l與操作系統(tǒng)無關 。 河南化工職業(yè)學院 3. 基于代理的入侵檢測系統(tǒng) 基于代理的入侵檢測系統(tǒng)用于監(jiān)視大型網(wǎng)絡系統(tǒng)。隨著網(wǎng)絡系統(tǒng)的復雜化和大型化，系統(tǒng)弱點趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點，所以不同的 IDS之間需要共享信息，協(xié)同檢測。整個系統(tǒng)可以由一個中央監(jiān)視器和多個代理組成。中央監(jiān)視器負責對整個監(jiān)視系統(tǒng)的管理，它應該處于一個相對安全的地方。代理則被安放在被監(jiān)視的主機上 (如服務器、交換機、路由器等 )。代理負責對某一主機的活動進行監(jiān)視，如收集主機運行時的審計數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。代理也可以接受中央監(jiān)控器的指令。這種系統(tǒng)的優(yōu)點是可以對大型分布式網(wǎng)絡進行檢測。 河南化工職業(yè)學院 入侵檢測系統(tǒng)的部署 ? 定義 IDS的目標 ? 不同的組網(wǎng)應用可能使用不同的規(guī)則配置，所以用戶在配置人侵檢測系統(tǒng)前應先明確自己的目標，建議從如下幾個方面進行考慮。 (1)明確網(wǎng)絡拓撲需求。 (2)安全策略需求。 ? (3)1DS的管理需求。 河南化工職業(yè)學院 選擇監(jiān)視內(nèi)容 1）選擇監(jiān)視的網(wǎng)絡區(qū)域 2）選擇監(jiān)視的數(shù)據(jù)包的類型 3）根據(jù)網(wǎng)絡數(shù)據(jù)包的內(nèi)容進行檢測 一般來說，不同的入侵檢測系統(tǒng)采用不同的方法來監(jiān)視網(wǎng)絡數(shù)據(jù)包的內(nèi)容，例如可以采用先根據(jù)網(wǎng)絡協(xié)議來選擇入侵特征規(guī)則進行檢測，然后再根據(jù)此協(xié)議數(shù)據(jù)包中的字符特征進行檢測。 河南化工職業(yè)學院 部署 ID