入侵检测系统及部署
一．什么是入侵检测系统？
入侵检测系统（intrusion detection system，简称“IDS”），是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

而IDS在应对对自身的攻击时，对其他传输的检测也会被抑制。

同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。

图 1 入侵检测系统
二．入侵检测系统的主要功能
IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。

IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。

[1]这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

图 2 入侵检测系统的主要功能
三．入侵检测系统的分类
根据检测数据的采集来源，入侵检测系统可以分为：基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。

基于主机的入侵检测系统(HIDS)：HIDS一般是基于代理的，即需要在被保护的系统上安装一个程序。

HIDS用于保护关键应用的服务器，实时监视可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视。

图 3 基于主机的入侵检测系统
基于网络的入侵检测系统(NIDS)：NIDS捕捉网络传输的各个数据包，并将其与某些已知的攻击模式或签名进行比较，从而捕获入侵者的入侵企图。

NIDS可以无源地安装，而不必对系统或网络进行较大的改动。

图 4 基于网络的入侵检测系统
入侵检测系统还可以分为：异常检测和滥用检测两种，然后分别对其建立检测模型异常检测：在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。

在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。

从理论上说，这种系统通常只能检测邮出系统有问题产生，而并不知道产生问题的原因所在。

图 5 异常检测
滥用检测：在滥用检测中，入侵过程及它在被观察系统中留下的踪迹是决策的基础。

所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。

滥用检测基于已知的系统缺陷和入侵模式，故又称特征检测。

它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏警。

据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用其他检测方式的产品。

国外的入侵检测产品也基本上都是采用滥用检测模型的。

图 6 滥用检测
四．入侵检测系统的部署
校园网安全威胁主要来自三方面：
1.网络的恶意破坏者，造成正常的网络服务不可用，系统或者数据破坏；
2.内部人员造成的网络数据的破坏，网络病毒的蔓延扩散、木马的传播；
3.别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密或者他人的私密信息。

而来自校园网内部的安全事件占了绝大多数。

这与校园网的用户息息相关。

一方面，高校学生有着强烈的好奇心，有探索的高智商和冲劲，但缺乏全面思考的责任感。

另一方面，校园网内很多用户使用网络获取大量资料，安全意识却明显薄弱，他们不愿意安装防火墙、杀毒软件等必要的网络安全工具。

传统安全措施存在的问题
防火墙将内部可信区域与外部危险区域有效隔离，为网络边界提供保护，是抵御入侵的重要手段。

然而防火墙的设计基于两大假设：
1.防火墙内部各主机是可信的；
2.防火墙外部每一个访问都是攻击性的，至少是有潜在攻击性的可能性。

防火墙提供的是静态防御，它的规则是事先设置的，对于实时攻击或者异常行为不能实时反应，无法自动调整策略设置以阻断正在进行的攻击。

入侵检测系统IDS被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

IDS虽然具有发现入侵、阻断连接的功能，但其工作重点是对入侵行为的识别上，网络整体的安全策略还需要防火墙来完成。

所以入侵监测系统应该通过与防火墙建立联动关系，动态改变防火墙的策略，通过防火墙实现从源头切断非法入侵行为。

一般来说入侵检测系统由3部分组成,分别是事件产生器,事件分析器和响应单元,通常,这3部分分别运行在3台独立的主机上,对于IDS而方,事件产生器所在的位置是十分重要的,因为它决定了事件的可见度.
对于主机型IDS,其事件产生器位于其所监测的主机上.
对于网络型IDS,其事件产生器的位置有多种可能,如果网段用总线式的集线哭喊相连,则可将其简单地接在集线器的一个端口上,对于交换式以太网交换机,问题则会变得复杂.由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法则不再可行,解决的办法有:
1.交换机的核心芯片上一般有一个用于高度的端口,任何其他商品的进出信息都可从此得到,如果交换厂商把此端口开放出来,用户可将IDS系统接到此端口上,这种方法的优点是无须改变IDS体系结构,缺点是采用此端口会降低交换机性能.
2.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键出入口,这种方法的优点是可以得到几乎所有的关键数据,缺点是必须与其他厂商紧密合作,并且会降低网络性能.
3.采用分接器,将其接在所有要监测的线路上,这种方法的优点是在不降低网络性能的前提下收集了所需要的信息,缺点是必须购买额外的设备.
图7 入侵检测系统的部署入侵检测设备
华为NIP 2100D详细参数
产品性能产品描述
4个GE端口，4个Combo端口，1
个GE专用管理接口
外型尺寸442*560*43.6mm
其它功能
帮助用户定位各种网络威胁，以及
违反安全策略的流量，并提供详实、
有效的指导措施，进而实现防护- 检
测- 响应一体化的解决方案
产品特性
最大功率：150W
工作温度：0-40℃
工作湿度：5-95%（不凝结）报价11.86万
图8 华为NIP 2100D。