入侵检测系统详解（IDS）

入侵检测系统（IDS）概念

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
在本质上，入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
入侵检测系统组成，基本组件如图所示：

1. 事件产生器（Event generators），它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。
   2.事件分析器（Event analyzers），接收事件信息，经过分析得到数据，并产生分析结果，并将判断的结构转变为警告信息。
   3.响应单元（Response units ），它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。
   4.事件数据库（Event databases ）事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

入侵检测系统的分类

根据数据源分类

1 基于主机的入侵检测系统（HIDS）

主要用于保护运行关键应用的服务器，通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或者已经成功入侵了系统，通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。

2 基于网络的入侵检测系统（NIDS）

主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来进行实时监控，并分析通过网络的所有通信业务。

根据检测原理分类

1 异常入侵检测。

异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计法和神经网络方法两种。

2 误用入侵检测。

误用入侵检测技术是通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，则判断有攻击。完全依靠特征库来做出判断，所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

根据体系结构分类

1.集中式

集中式入侵检测系统包含多个分布于不同主机上的审计程序，但只有一个中央入侵检
测服务器，审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加，主机审计程序和服务器之间传送的数据量激增，会导致网络性能大大降低。并且一旦中央服务器出现故障，整个系统就会陷入瘫痪。此外，根据各个主机不同需求配置服务器也非常复杂。

2.等级式

在等级式(部分分布式)入侵检测系统中，定义了若干个分等级的监控区域，每个入侵
检测系统负责一个区域， 每一 级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。这种结构存在以下问题。首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整:其次，这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性改进。

3.协作式

协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。所以，可伸缩性、安全性都得到了显著的提高，但维护成本也相应增大，并且增加了所监控主机的工作负荷，如通信机制，审计开销，踪迹分析等。

根据工作方式分类

1 离线检测。

离线检测系统是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。这类系统的成本低，可以分析大量事件，调查长期情况，但由于是事后进行的，不能对系统提供及时的保护，而且很多入侵在完成后会删除相应的日志，因而无法进行审计。

2 在线监测。

在线监测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全，但在系统规模较大时难以保证实时性。

入侵检测功能

入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，尽可能的减少入侵攻击所造成的损失，在攻击后，能收集入侵攻击的相关信息，作为防范系统的知识添加到知识库中，从而增强系统的防范能力。

1 监控、分析用户和系统的活动

这是完成入侵检测任务的前提条件。通过获取进出某台主机及整个网络的数据，来监控用户和系统的活动。那么最直接一般的方法就是“抓包”，将数据流中的所有包都抓下来进行分析。
如果入侵检测系统不能实时地截获数据包并进行分析，那么就会出现漏包或网络阻塞的现象。前者会出现很多漏报，后者会影响网络中数据流速从而影响性能。所以，入侵检测系统不仅要能够监控分析用户和系统的活动，同时它自己的这些骚操作要快（不然真是会头大哦0.0）

2 发现入侵企图或异常现象

这是入侵检测的核心功能。包括两个方面：一是对进出网络的数据流进行监控，查看是否存在入侵行为；二是评估系统关键资源和数据文件的完整性，查看是否已经遭受了入侵行为。前者是作为预防的，后者是用来吸取经验以免下次再遭攻击的。

3 记录、报警和响应

哈哈哈哈终于到了最后的阶段，对于前面的分析，找出攻击行为，那么到了这里就该是我们进行反击了。我要一刀解决你。针对不同的攻击，首先应该记录它们的基本情况，然后再做出相应的响应（包括报警啊，一刀砍死啊，拦截啊啥的）

相关文章：
入侵检测系统（IDS）与协同
IPS详解