入侵检测系统的分类及功能

[采购管理系统的功能]经由物料需求管理系统产生采购建议单，采购人员衡量现有供应商之产能、价格及服务水准，进行安排采购数量分配及自动开立列印采购单，并将采购资料传输至系统作采购管理，而作业可弹...+阅读

入侵检测系统的分类及功能

据其采用的技术可以分为异常检测和特征检测。（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成

(2)特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

(3)协议分析：利用网络协议的高度规则性快速探测攻击的存在。

根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。

(1)基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

(2)基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

(3)分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

根据工作方式分为离线检测系统与在线检测系统。

(1)离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。

(2)在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

中小企业如何部署入侵检测系统

随着网络技术的快速发展，如今的网络安全不再仅仅是靠防火墙或者个别安全社设备就可以完全抵御的，攻击手法和方式的多样化势必要求网络安全产品整合，协同工作。防火墙、杀毒软件、安全策略早已被大多数用户纷纷采用的，更出现了IPS、IDP等高端的安全产品，但笔者以为其实就中小企业而言入侵检测系统更能满足用户的需求。笔者始终认为，只有掌握了恶意软件或行为后，对症下药会更好的解决用户所遇到的威胁。入侵检测的用途虽然入侵检测系统（Intrusion Detection System,IDS）早已不再是什么神秘的神兵利器，但却可以在恶意行为发生时及时通告用户，此种检测手段非常适合于在防火墙的基础之上部署在中、小企业中，甚至对于要求更严格的大型企业网络也是适用的。

现在用户都清楚一个事实，一台636f7079e79fa5e9819331333332636332普通的计算机是以安装防火墙的方式来进行访问规则的设置，而对于企业网络来说，这是远远不够的。此时相对更加昂贵的IPS或IDP设备，入侵检测系统IDS已经可以胜任网络防护的重任，管理员只要留意网络通信的异常和警告稍加分析就可以判断是否有恶意行为的发生。通常笔者在实施企业级应用时，首先会考虑企业的实际需要，而IDS不论对于何种规模的网络都是适用的，IDS是建立在防火墙基础之上的一种很有效的防护手段。入侵检测适用范围虽然IDS和IPS之间的争论已经了结了很久，但是仍有不少用户在选择安全产品的时候存在错误或者说是模糊的概念。有人说IDS和IPS目前只适用于中大型网络，对于只有小型网络和若干IT工作人员的中小型企业来说，大型IDS入侵检测系统造价偏高而且还得投入工作人员全天候进行监控，相对来说并不划算。

因此很多小型企业只能利用防火墙对其实现安全防护，这显然是不够的，这让很多入侵行为无法被防火墙及时发现并造成损失。曾经笔者在为一家中小企业处理做应急方案的时候就发现，由于防火墙自身规则的限制，使得企业无法防范来自内部的威胁，困此小型企业可以尝试使用小型网络产品或者利用外包商们专为中小型企业提供的检测和预警服务，在防火墙产品以备或防火墙无法满足现有安全需求时完善企业的安全机制。但是笔者还是强调任何设备都不是万能的守护神，而IDS应该是多层防御系统的一部份，这个防御系统中最重要的还应是安全管理。如何部署入侵检测系统如果企业在已拥有防火墙基础之上部署入侵检测系统，应首先评考虑目前的网络规模和范围以及需要保护的数据和基础设施等，由于IDS只是一种安全硬件，而且由于IDS在行为检测过程中可能会占用比较多的资源，这对于一个极小的网络来说会成为很大的负担，甚至会影响网络的使用性能。

用户只有根据自身的需求进行评估后，才可以对相关的IDS或IPS进行评测考证，随后才能讨论IDS如何融入现有的安全策略中。在小型企业中，配备好一个处理能力良好的防火墙会比完备的IDS更好控制，但是防火墙只能阻止已经被限制网络通信，并不能起到很好的防护效果。而对于IDS来说可以记录不必要的通信量，虽然有时不进行阻止，但在记录中发现不明规则的同时，可以利用防火墙新建策略对其进行阻止访问，所以防火墙与IDS是功能互补，相互依赖的。通常恶意行为在入侵一台服务器时会先侵入较低保护的系统，然后通过提权获得更高的权限直至达到入侵目的。因此用户考虑是否部署IDS产品前，应对目前服务器中存储的信息进行风险分析，不仅要考虑数据安全性，也要考虑系统结构和低风险系统到高风险系统的可侵入性。

如果仅靠IDS是不会达到很好的防护效果的，用户要想IDS对网络起到很好的保护，那其设备必须安装在防火墙的两边以及网关处，让其检测无论是内部的还是外部的所有通信量，并将不同网段的检测结果进行对比，那样才能确定攻击的来源或者试图入侵的恶意代码。而对于内部攻击，可通过IDS入侵检测系统对内部网段可疑活动的检测，找到病源。当然IDS可能会产生误报，管理人员可以从恶意程序试探网络的通信数据中找到入侵的路径。总结随着黑客技术的提升，使得安全技术和产品必须更快的发展，以应对网络各种胁威。

入侵检测系统的简介

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，＂所关注流量＂指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。

这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。Venustech（启明星辰）、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。