b.有些攻击在网络的数据流中很难发现，或者根本没有
通过网络在本地进行。这时基于网络的IDS系统将无能为力。
11
c.适应交换和加密。基于主机的IDS系统可以较为灵活 地配置在多个关键主机上，不必考虑交换和网络拓扑问题。 这对关键主机零散地分布在多个网段上的环境特别有利。某 些类型的加密也是对基于网络的入侵检测的挑战。依靠加密 方法在协议堆栈中的位置，它可能使基于网络的系统不能判 断确切的攻击。基于主机的IDS没有这种限制。
第6章 入侵检测系统
本章概要
本章针对入侵检测系统展开详尽的描述： 入侵检测系统的概念； 入侵检测系统的主要技术； 入侵检测系统的类型；
入侵检测系统的优缺点；
入侵检测系统的部署方式。
2
课程目标
通过本章的学习，读者应能够： 了解入侵检测系统工作基本原理； 了解入侵检测系统在整个安全防护体系中的作用； 掌握入侵检测系统的部署方式。
16
e.检测不成功的攻击和恶意企图。基于网络的IDS可以 检测到不成功的攻击企图，而基于主机的系统则可能会遗漏 一些重要信息。 f.基于网络的IDS不依赖于被保护主机的操作系统。 3.缺点 a.对加密通信无能为力。 b.对高速网络无能为力。 c.不能预测命令的执行后果。
17
6.3.4 集成入侵检测(Integrated Intrusion Detection)

不能够在没有用户参与的情况下对攻击行为展开调查； 不能够在没有用户参与的情况下阻止攻击行为的发生；


不能克服网络协议方面的缺陷；
不能克服设计原理方面的缺陷； 响应不够及时，签名数据库更新得不够快。经常是事后才 检测到，适时性不好。
21
6.5 带入侵检测功能的网络体系结构
由前述可知，入侵检测系统能做什么，不能做什么；至 于它在网络体系结构的位置，很大程度上取决于使用IDS的
为。例如，许多拒绝服务攻击(DoS)只能在它们通过网络传输
时检查包头信息才能识别。
15
c.基于网络IDS的宿主机通常处于比较隐蔽的位置，基
本上不对外提供服务，因此也比较坚固。这样对于攻击者来 说，消除攻击证据非常困难。捕获的数据不仅包括攻击方法，
还包括可以辅助证明和作为起诉证据的信息。而基于主机
IDS的数据源则可能已经被精通审计日志的黑客篡改。 d.基于网络的IDS具有更好的实时性。例如，它可以在 目标主机崩溃之前切断TCP连接，从而达到保护的目的。而 基于主机的系统是在攻击发生之后，用于防止攻击者的进一 步攻击。
目的。它既可以放在防火墙前面，部署一个网络IDS，监视
以整个内部网为目标的攻击，又可以在每个子网上都放置网 络感应器，监视网络上的一切活动。 网络IDS参见下页图所示：
22
IDS部署示意
23
第6章结束！
Hale Waihona Puke 241.概念 基于网络的入侵检测系统使用原始的裸网络包作为源。 利用工作在混杂模式下的网卡实时监视和分析所有的通过共 享式网络的传输。当前，部分产品也可以利用交换式网络中 的端口映射功能来监视特定端口的网络入侵行为。一旦攻击 被检测到，响应模块将按照配置对攻击做出反应。这些反应 通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。
3
6.1 入侵检测系统的概念
当前，平均每20秒就发生一次入侵计算机网络的事件， 超过1/3的互联网防火墙被攻破！面对接二连三的安全问题， 人们不禁要问：到底是安全问题本身太复杂，以至于不可能 被彻底解决，还是仍然可以有更大的改善，只不过我们所采 取安全措施中缺少了某些重要的环节。有关数据表明，后一 种解释更说明问题。有权威机构做过入侵行为统计，发现有 80％来自于网络内部，也就是说，“堡垒”是从内部被攻破 的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过 防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙 仍然远远不能将“不速之客”拒之门外，还必须借助于一个
1.概念 综合了上面介绍的几种技术的入侵检测方法。 2.优点 a.具有每一种检测技术的优点，并试图弥补各自的不足。 b.趋势分析——能够更容易看清长期攻击和跨网络攻击的 模式。 C.稳定性好。 d.节约成本--购买集成化解决方案相对于分别购买独立组 件的解决方案，可节约开支。 3.缺点 a.在安防问题上不思进取。 b.把不同供应商的组件集成在一起较困难。
事件数据库
事件分析器
响应单元
事件数据库
事件产生器
8
6.2 入侵检测系统的主要类型
6.3.1基于主机的入侵检测(Host Intrusion Detection)
1.概念 基于主机的入侵检测始于20世纪80年代早期，通常采用 查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较，并检查不应该被改变的系统文件的校验 和来分析系统是否被侵入或者被攻击。如果发现与攻击模式 匹配，IDS系统通过向管理员报警和其他呼叫行为来响应。 它的主要目的是在事件发生后提供足够的分析来阻止进一步
2.优点
基于网络的入侵检测系统具有以下几方面的优势：
14
a.基于网络的IDS技术不要求在大量的主机上安装和管 理软件，允许在重要的访问端口检查面向多个网络系统的流 量。在一个网段只需要安装一套系统，则可以监视整个网段 的通信，因而花费较低。 b.基于主机的IDS不查看包头，因而会遗漏一些关键信 息，而基于网络的IDS检查所有的包头来识别恶意和可疑行
d.不要求额外的硬件。基于主机的IDS配置在被保护的
网络设备中，不要求在网络上增加额外的硬件。
12
3.缺点 a.看不到网络活动的状况。
b.运行审计功能要占用额外系统资源。
C.主机监视感应器对不同的平台不能通用。
d.管理和实施比较复杂。
13
6.3.3 基于网络的入侵检测(NetworkIntrusionDetection)
6
防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之 后的第二道安全闸门，在不影响网络性能的情况下对网络进 行检测，从而提供对内部攻击、外部攻击和误操作的实时保 护。由于入侵检测系统是防火墙后的又一道防线，从而可以 极大地减少网络免受各种攻击的损害。
7
6.1.2 入侵检测系统的组成
入侵检测系统分为4个基本组件： 事件产生器 事件分析器 响应单元
的攻击。反应的时间依赖于定期检测的时间间隔。实时性没
有基于网络的IDS系统好。
10
2.优点 基于主机的入侵检测具有以下优势： a.监视所有系统行为。基于主机的IDS能够监视所有的 用户登录和退出，甚至用户所做的所有操作，审计系统在日
志里记录的策略改变，监视关键系统文件和可执行文件的改
变等。可以提供比基于网络的IDS更为详细的主机内部活动 信息。
/ % c 1 % 1 c
5
入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展 了系统管理员的安全管理能力(包括安全审计、监视、进攻识 别和响应)，提高了信息安全基础结构的完整性。它从计算机 网络系统中的若干个关键点收集信息，并分析这些信息，检 测网络中是否有违反安全策略的行为和遭到袭击的迹象。它 的作用是监控网络和计算机系统是否出现被入侵或滥用的征 兆。 作为监控和识别攻击的标准解决方案，IDS系统已经成为安防 体系的重要组成部分。
18
6.4 入侵检测系统的优点和不足
19
6.4.1 入侵测系统的优点
入侵检测系统能够增强网络的安全性，它的优点：

能够使现有的安防体系更完善； 能够更好地掌握系统的情况；


能够追踪攻击者的攻击线路；
界面友好，便于建立安防体系； 能够抓住肇事者。
20
6.4.2 入侵检测系统的不足
入侵检测系统不是万能的，它同样存在许多不足之处：
“补救”环节——入侵检测系统。
4
6.1.1 什么是入侵检测系统？
入侵检测系统(Intrusiondetetionsystem，简称IDS)是指 监视(或者在可能的情况下阻止)入侵或者试图控制你的系统 或者网络资源的行为的系统。作为分层安全中日益被越普遍 采用的成分，入侵检测系统能有效地提升黑客进入网络系统 的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵 企图来加强当前的存取控制系统，例如防火墙通常不能识别 的攻击，如来自企业内部的攻击；在发现入侵企图之后提供 必要的信息。