防火墙之入侵检测

一：入侵

1. 入侵概念

2. 系统漏洞

3. 病毒

二. 入侵检测

入侵检测系统分类

安全体系位置

 IDS的部署

入侵检测原理

 章节练习

---

一：入侵

1. 入侵概念

（1）入侵定义：入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据，使信息系统不可靠或不能使用的行为。入侵企图破坏信息系统的完整性、机密性、可用性以及可控性

2. 系统漏洞

（1）漏洞的定义：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统

（2）漏洞的影响范围：漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件，路由器，防火墙等

（3）漏洞的特性：漏洞问题有其实效性，一个系统从发布的那一天起，随着用户的使用，系统中存在漏洞会不断暴露出来，也会不断被响应的补丁修复，或在随后发布的新版本中纠正。旧的漏洞被纠正的同事，往往也会引入一些新的漏洞。随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在

（4）漏洞的危害：安全漏洞与攻击活动之间有紧密的关系，攻击者利用某缺陷成功破坏了信息系统的机密性、完整性、可用性。则此缺陷为漏洞

3. 病毒

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的
宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。
计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。
病毒感染目标包括：硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件
（.exe）、命令文件（.com）、覆盖文件（.ovl）、COMMAND文件、IBMBIO文件、IBMDOS文件。

原理
计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破
口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在
宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。
主要传播方式∶感染文件传播

（1）病毒的定义：广义的病毒为恶意代码的统称，狭义的病毒为一种恶意代码，附着在应用程序或文件中，通过邮件或文件共享进行传播，威胁用户主机和网络的安全

（2）病毒的危害：有些病毒会耗尽主机资源、占用网络带宽、控制主机权限、窃取用户数据。对主机硬件进行损坏等

（3）病毒的目的：病毒的主要目的是破坏细腻些，入侵的主要目的是窃取信息。有些病毒可以作为入侵的工具来使用

二. 入侵检测

1. 入侵检测介绍

（1）入侵检测概念：通过监视各种操作，分析，审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的动态的安全防御技术

（2）入侵检测系统（IDS）：用于入侵检测的所有软硬件系统，发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启用有关安全机制进行应对

入侵检测系统分类

基于网络

---

监测速度快

隐蔽性好

视野更宽

较少的监测器

攻击者不易转移证据

操作系统无关性

入侵检测只能识别源地址和目的地址，不能识别地址是否伪造，难以定位真正的入侵者

---

基于主机

安全体系位置

• 门——防火墙
• 门禁系统——身份认证，访问控制
• 加固的房间——系统加固，免疫
• 监视器——入侵检测系统
• 监控室——安全管理中心
• 保安——入侵防御
• 安全传输——加密、VPN

 IDS的部署

入侵检测原理

（1）入侵检测系统：检测任何损害或企图损害系统的保密性、完整性、可用性的一种网络安全技术

（2）入侵检测系统系统结构

• 数据提取
• 入侵分析
• 入侵响应
• 远程管理

 章节练习

1. 什么是IDS？

2. IDS和防火墙有什么不同？

3. IDS工作原理？

4. IDS的主要检测方法有哪些详细说明？

5. IDS的部署方式有哪些？

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？ 

解答

1.入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

2.IDS和防火墙有什么不同？

防火墙是针对黑客攻击的一种被动的防御旨在保护，IDS 则是主动出击寻找潜在的攻击者发现入侵行为；

防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障，IDS 是对攻击作出反击的技术；

防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS 则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；

防火墙可以允许内部的一些主机被外部访问，IDS 则没有这些功能，只是监视和分析用户和系统活动

3.IDS工作原理？

入侵检测系统IDS，首先是别人入侵检测系统的系统日志，会记录黑客或者未知访客的踪迹，他们做了什么，对文件和程序的一些改动，上传给上层进行分析。经过分析，如果出了问题，就会发现探测器本身的完整性。这是IDS事后做出的检测行为。如果不对，它会立即报警。

4.IDS的主要检测方法有哪些详细说明？ 

1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

1).模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。
2).统计分析
分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。
3).完整性分析
完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。
3.实时记录、报警或有限度反击
IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源

5.IDS的部署方式有哪些？