旁路網路入侵檢測

❶ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測（Intrusion Detection），顧名思義，就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計 數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

❷ 基於網路的入侵檢測系統和基於主機的檢測系統區別

一、性質不同

1、基於網路的入侵檢測系統用原始的網路包作為數據源，它將網路數據中檢測主機的網卡設為混雜模式，該主機實時接收和分析網路中流動的數據包，從而檢測是否存在入侵行為。

2、基於主機的入侵檢測系統(Host-basedIDS,HIDS)出現在20世紀80年代初期，那時網路規模還比較小，而且網路之間也沒有完全互連。在這樣的環境里，檢查可疑行為的審計記錄相對比較容易，況且在當時入侵行為非常少，通過對攻擊的事後分析就可以防止隨後的攻擊。

二、原理不同

1、基於網路的入侵檢測系統：通常利用一個運行在隨機模式下的網路適配器來實時檢測並分析通過網路的所有通信業務他的攻擊辨識模塊。

2、基於主機入侵檢測系統：使用審計記錄，但主機能自動進行檢測，而且能准確及時地作出響應。通常，HIDS監視分析系統、事件和安全記錄。

(2)旁路網路入侵檢測擴展閱讀

HIDS的主要特點如下。

1、監視特定的系統活動

HIDS監視用戶和訪問文件的活動，包括文件訪問、改變文件許可權，試圖建立新的可執行文件或者試圖訪問特殊的設備。

2、能夠檢查到基於網路的入侵檢查系統檢查不出的攻擊

HIDS可以檢測到那些基於網路的入侵檢測系統察覺不到的攻擊。例如，來自主要伺服器鍵盤的攻擊不經過網路，所以可以躲開基於網路的入侵檢測系統。

3、適用於採用了數據加密和交換式連接的子網環境

由於HIDS安裝在遍布子網的各種豐機上，它們比基於網路的入侵檢測系統更加適於交換式連接和進行了數據加密的環境。

❸ 什麼是入侵檢測系統它有哪些基本組件構成

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
· 監視、分析用戶及系統活動；
· 系統構造和弱點的審計；
· 識別反映已知進攻的活動模式並向相關人士報警；
· 異常行為模式的統計分析；
· 評估重要系統和數據文件的完整性；
· 操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。
信息收集入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。而且，需要在計算機網路系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件（黑客隱藏了初試文件並用另一版本代替）。這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面：
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡，因此，充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄「用戶活動」類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。