基于主机的IDS（HIDS）优点
（1）能够监视特定的系统行为。HIDS能够监视所有 的用户登录和退出，甚至用户所做的所有操作， 日志里记录的审计系统策略的改变，关键系统文 件和可执行文件的改变等。
（2）HIDS能够确定攻击是否成功。由于使用含有已 经发生事件的信息，它们可以比网络入侵检测系统 更加准确地判断攻击是否成功。
特征检测
主要局限性表现在：
(1) 不能检测未知的入侵行为。 (2) 与系统的相关性很强，即检测系统知识库中的入 侵攻击知识与系统的运行环境有关。对于不同的操作 系统，由于其实现机制不同，对其攻击的方法也不尽 相同，因而很难定义出统一的模式库。 (3) 对于系统内部攻击者的越权行为，由于他们没有 利用系统的缺陷，因而很难检测出来。
IPS入侵防御系统位置
由此可以得出结论，办公网中，至少需要在以下区 域部署IPS，即：
（1）办公网与外部网络的连接部位（入口/出口）； （2）重要服务器集群前端； （3）办公网内部接入层。
至于其它区域，可以根据实际情况与重要程度，酌情部署。
IPS与IDS的区别
IPS对于初始者来说，是位于防火墙和网络的设备 之间的设备。这样，如果检测到攻击，IPS会在这 种攻击扩散到网络的其它地方之前阻止这个恶意 的通信。而IDS只是存在于你的网络之外起到报警 的作用，而不是在你的网络前面起到防御的作用。
采用两种技术混合的入侵检测
入侵检测的两种最常用技术在实现机理、处理 机制上存在明显的不同，而且各自都有着自身 无法逾越的障碍，使得各自都有着某种不足。 但是采用这两种技术混合的方案，将是一种理 想的选择，这样可以做到优势互补。
8.4 IDS在企业网中的应用——部署位置
IDS在交换式网络中的位置一般选择为：尽可能靠 近攻击源、尽可能靠近受保护资源。这些位置通 常是：
为什么要用入侵检测系统？
防火墙的局限性
（1）防火墙防外不防内。 （2）防火墙一般不提供对内部的保护。 （3）防火墙不能防范不通过它的连接。 （4）防火墙不能防备全部的威胁。
因此为确保网络的安全，就要对网络内部进行实 时的检测，这就要用到IDS无时不在的防护！
8.1 入侵检测概述
为什么要用入侵检测系统？ 什么是入侵行为？ 什么是入侵检测？ 什么是入侵检测系统： 入侵检测系统工作原理 入侵检测系统的两个性能指标
入侵检测系统
全称为Detection System，缩写为 IDS，可以是软件，也可以是一种进行入侵 检测的软件与硬件的组合。
与防火墙不同的是，IDS是一个旁路监听设备，无 须网络流量流经它便可以工作。IDS的运行方式有 两种，一种是在目标主机上运行以监测其本身的 通信信息，另一种是在一台单独的机器上运行以 监测所有网络设备的通信信息，比如Hub、路由 器。
代理
域名 服务器
这种防护用以 监测系统上正 在运行的进程 是否合法
基于主机的IDS
基于主机的入侵检测系统通常以系统日志、应用 程序日志等审计记录文件作为数据源。它是通过 比较这些审计记录文件的记录与攻击签名 (Attack Signature，指用一种特定的方式来表示 已知的攻击模式)以发现它们是否匹配。如果匹配， 检测系统就向系统管理员发出入侵报警并采取相 应的行动。基于主机的IDS可以精确地判断入侵事 件，并可对入侵事件作出立即反应。
分布式的IDS将是今后人们研究的重点，它是一种相 对完善的体系结构，为日趋复杂的网络环境下的安全 策略的实现提供了最佳的解决方案。
8.3 IDS分析技术
异常检测(Anomaly Detection) 特征检测(Signature-based detection)
异常检测
原理：首先建立系统或用户的
服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上。
IDS的部署位置
内部局 域网
可以部署于网络内部
Snort
防火墙
Snort
DMZ
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
Internet
WEBSrv 没有IDS系统的企业 网络是极不安全的
第八章 入侵检测技术
2020/10/9
本章主要内容
8.1 入侵检测概述 8.2 入侵检测系统分类 8.3 入侵检测在企业网中的应用 8.4 入侵检测系统目前存在的问题 8.5 入侵检测的发展趋势
8.1 入侵检测概述
为什么要用入侵检测系统？ 什么是入侵行为？ 什么是入侵检测？ 什么是入侵检测系统： 入侵检测系统工作原理 入侵检测系统的两个性能指标
记入日志 实时报警
入侵检测系统的两个性能指标
一是漏报率，指攻击事件没有被IDS检测到，与其 相对的是检出率；
二是误报率，指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。
100%
误 报 率
检出率 100%
性能指标计算公式：
网络中发生的真实的攻击事件数量为M，IDS漏报 的事件数量为N，则
通常对IDS的部署的唯一要求是：IDS应当挂接在 所有所关注的流量都必须流经的链路上。在这里， “所关注的流量”指的是来自高危网络区域的访 问流量和需要进行统计、监视的网络报文。
入侵检测系统工作原理
信息收集
信息分析
是否是
N
攻击
忽略
Y 记录/报警
收集流量的内容、用户连接的状态和行为 通过模式匹配，统计分析和完 整性分析三种手段进行分析
IPS检测攻击的方法也与IDS不同。一般来说，IPS 系统都依靠对数据包的检测。IPS将检查入网的数 据包，确定这种数据包的真正用途，然后决定是 否允许这种数据包进入你的网络。
什么是入侵（Intrusion）行为？
入侵行为主要是指对系统资源的非授 权使用，不仅包括发起攻击的人取得超出 范围的系统控制权，也包括收集漏洞信息， 造成拒绝访问等对计算机造成危害的行为。
什么是入侵检测？
入侵检测是指通过从计算机网络系统 中的若干关键点收集信息，并分析这些信 息，从而发现网络或系统中是否有违反安 全策略的行为和遭到袭击的迹象的一种安 全技术。
漏报率=N/M*100%
误报率的计算方法很多，各种算法之间最大的不同 都在分母的取值上，目前比较常见的IDS误报率的 计算方法是：
误报率=存在误报的事件数（X）/ 事件库总量（N） *100%（其中某IDS的事件总是为N，存在 误报的事件数为X）
例 子：
已知10个网络事件，其中6个正常事件，4个攻击 事件；现有一入侵检测系统检测到5个攻击事件的 发生，但其中有2个事件为正常事件被误判作为攻 击事件，则：
为什么要用入侵检测系统？
“防火墙”，是指一种将内部网和公众访问网(如 Internet)分开的方法，它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺 度，它能允许你“同意”的人和数据进入你的网络， 同时将你“不同意”的人和数据拒之门外，最大限 度地阻止网络中的黑客来访问你的网络。换句话说， 如果不通过防火墙，公司内部的人就无法访问 Internet，Internet上的人也无法和公司内部的人 进行通信。
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
Internet
DMZ
WEBSrv
基于主机的 IDS
邮件服务器
部署于主机上的IDS
I对网络流量进行监 控的IDS
基于网络的 IDS
打印服务器
8.5 入侵检测系统目前存在的问题
特征检测
特征检测又称滥用检测Misuse detection，这一检 测假设所有入侵行为和手段都能够表达为一种模式 或特征，因而所有已知的入侵方法都可以用匹配的 方法发现，但对新的入侵方法无能为力。
基本前提是：假定所有可能的入侵行为都能被识别 和表示。
其难点在于如何设计模式既能够表达“入侵”现象 又不会将正常的活动包含进来。
IPS是英文“Intrusion Prevention System”的缩 写，中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的 不断发现，传统防火墙技术加传统的入侵检测技 术，已经无法应对一些安全威胁。在这种情况下， IPS技术应运而生，IPS技术可以深度感知并检测 流经的数据流量，对恶意报文进行丢弃以阻断攻 击，对滥用报文进行限流以保护网络带宽资源。
8.2 入侵检测系统分类
➢ 基于主机(Host-Based)的入侵检测系统 ➢ 基于网络(Network-Based)的入侵检测系统 ➢ 分布式入侵检测系统
8.2.1 基于主机的IDS
主机型入侵检
测系统保护的
防火墙
是主机系统
主机IDS
代理
代理
邮件 服务器
WWW 服务器
每台主机上安 装一个入侵检
测代理
行为特征
动态产生新 的行为特征
异常检测
从异常检测的实现机理来看，异常检测所面临的关键 问题有：
(1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取
从异常检测的原理我们可以看出，该方法的技术难点 在于：
“正常”行为特征轮廓的确定； 特征量的选取；特征轮廓的更新。 由于这几个因素的制约，异常检测的误报率会很高，但对 于未知的入侵行为的检测非常有效，同时它也是检测冒充 合法用户的入侵行为的有效方法。
“正常”行为特征轮廓，通过
比较当前的系统或用户的行为
是否偏离正常的行为特征轮廓
来判断是否发生了入侵行为。
与系统相对无关，通用性强
能检测出新的攻击方法
审计数据
误检率较高
异常检测是根据使用者的行为
或资源使用状况来判断是否入
侵，所以异常检测又称基于行
为的入侵检测。
更新
系统正常的统计分析 入侵 行 为 特 征 轮 廓偏 离 正 常 行 为