了解入侵检测技术

　　在本节里，我们主要来讲讲入侵检测技术，也就是IDS。什么是入侵检测呢?其实就是人们对入侵行为的发觉，它注重的是网络安全状况的监管，通过监视网络或者系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。

　　我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

　　与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

　　从入侵造成的严重程度看，入侵可以分为:

　　①拒绝服务的攻击，入侵者并没有获得系统的访问权，而是利用一些拒绝服务的攻击程序，引起网络挂起或重新启动;

　　②入侵者只获得系统访问权限，即获得了普通级别的系统账号和口令并登录主机，不做破坏性的工作;

　　③入侵者进入系统后，毁坏改变数据;

　　④入侵得到部分或整个系统的控制权：修改系统账户、口令、修改日志、安装后门、木马等。

　　入侵检测的分类

　　入侵检测的分类可以根据其采用的技术、检测的对象以及系统的工作方式来分。

　　1.根据所采用的技术分为：

　　1)异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。

　　2)特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

　　2.根据所检测的对象分为：

　　1) 基于主机的入侵检测系统 HIDS

　　2) 基于网络的入侵检测系统 NIDS

　　3.根据系统的工作方式分为：

　　1) 离线检测系统

　　2) 在线检测系统 ----> IPS

　　入侵检测系统的主要功能

　　入侵检测系统的主要功能可以概括为：

　　·监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作;

　　·检测系统配置的正确性和安全漏洞，并提示管理员修补漏据;

　　·对用户的非正常活动进行统计分析，发现入侵行为的规律;

　　·检查系统程序和数据的一致性与正确性，如计算和比较文件系统的校验和;

　　·能够实时对检溅到的入侵行为作出反应;

　　·操作系统的审计跟踪管理。

　　入侵检测系统的作用

　　使用检测

　　实时地监视，分析网络中所有的数据报文

　　发现并实时处理所捕获的数据报文

　　安全审计

　　对系统记录的网络事件进行统计分析

　　发现异常现象

　　得出系统的安全状态，找出所需证据

　　主动响应

　　主动切断连接或与防火墙联动，调用其他程序处理

　　入侵检测系统的构成

  入侵检测系统CIDS) 的构成具有一定的相似性，基本上都是由固定的部件组成。如图1所示，基于入侵检测技术的入侵检测系统一般由信息采集部件、入侵分析部件与入侵响应部件组成。

图1 入侵检测系统的构成

　　信息采集部件是用于采集原始信息的部件，通常情况下是运行于网络操作系统中的Proxy模块或专有的网络设备。信息采集部件的作用就是将各类复杂、凌乱的信息按着一定的格式进行格式化并交付于入侵分析部件。

　　入侵分析部件是入侵检测系统的核心部分，在接收到信息采集部件收集的格式化信息后，按着部件内部的分析引擎进行入侵分析，分析引擎的类型不同，所需的格式化信息也不同，当信息满足了引擎的入侵标准时就触发了入侵响应机制。

　　入侵响应部件是入侵栓测系统的功能性部件，当入侵分析部件发现入侵后，向入侵响应部件发送入侵消息，由入侵响应部件根据具体的情况做出响应，响应部件同信息采集部件一样都是分布于网络中，甚至与信息采集部件集成在一起。

　　入侵检测的信息收集

　　入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面：

　　1. 系统和网络日志文件

　　2. 目录和文件中的不期望的改变

　　3. 程序执行中的不期望行为

　　4. 物理形式的入侵信息

　　入侵检测的信号分析

　　对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

　　IDS存在问题

　　IDS具有网络局限性

　　IDS检测方法都有一定的局限性

　　IDS不能处理加密后的数据

　　IDS存在着资源和处理恩那个的局限性

　　IDS受内存和硬盘的限制

　　对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

　　以上就是本文对于入侵检测技术的了解内容了，希望能够对大家有所帮助。更多的学习内容大家可前往课课家教育查阅并进行订购学习，各类的网络课程丰富多样，总有一款是适合你的哟。