入侵检测简介

任务概述

传统的网络安全机制、策略和工具如防火墙、VPN（虚拟专用网）、访问控制等只能被动地防御入侵行为，它们对入侵行为的反应非常迟钝，不能对未知的攻击行为进行预防，不能根据网络行为的变化来及时地调整系统的安全策略，为此人们提出了入侵检测技术。入侵检测是根据网络攻击行为而设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时调整系统策略以加强系统的安全性。目前入侵检测技术已经成为人们关注的热点，并希望入侵检测系统可以真正保障系统安全。

任务目标

●能够了解入侵检测的概念及功能

●能够理解入侵检测系统的功能和组成

●能够了解入侵的主要途径

学习内容

一、入侵检测的概念

入侵检测系统（Intrusion Detection Systems，IDS）是依照一定的安全策略，对网络、系统的运行情况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵检测就是对计算机和网络资源上的恶意使用行为进行识别和响应的过程，不仅检测来自本身网络外部的入侵行为，而且也监督内部用户的未授权活动。这就像人们的房间里安装了摄像机，可以监视进入房间的是什么人及发生的各种活动。

入侵检测系统是一种积极主动的安全防护工具。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测和保护。

入侵检测的优点主要体现在两个方面:一是它可以通过“学习”对未知攻击进行防御，二是它可以对内部攻击进行防御。

二、入侵检测系统的功能和组成

1.入侵检测系统的功能

入侵检测是防火墙的合理补充，可以有效地应对网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测系统能够捕获并记录网络上的所有数据，同时能够分析网络数据并提炼出可疑的、异常的网络数据，能够穿透一些巧妙的伪装，抓住实际的内容对入侵行为自动地进行反击，例如阻断连接。通常入侵检测系统的功能如下:

（1）发现:检测入侵者的攻击、探测行为，监视用户和系统的运行状况，发现越权操作。

（2）响应:提供入侵响应机制，包括报警、关闭连接等。

（3）报告:报告计算机系统或网络中存在的安全威胁。

（4）审计:审计系统配置和漏洞，提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行改进。

（5）评估:评估关键系统和数据的完整性。

（6）学习:提高网络安全管理的质量。

（7）记录:通过检测并且记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。

2.入侵检测系统的组成

入侵检测系统分为4个组件:事件发生器、事件分析器、响应单元、事件数据库。事件发生器的目的是从整个计算机环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以只简单地报警，也可以做出切断连接、改变文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方，它可以是简单的文本文件，也可以是复杂的数据库。

三、入侵的途径

入侵者进入系统通常采用下面几种主要途径:

1.物理入侵

这包括两个方面的内容，一是未经授权的对网络硬件的连接;二未经授权的对物理资源的访问。入侵者可直接接触主机等物理设备，从而对物理设备进行攻击。

2.系统入侵

这类入侵表现为入侵者已经在系统中拥有较低的权限，利用漏洞非法提升其权限，直至获得系统管理员权限。

3.网络入侵

网络入侵指入侵者通过网络远程进入系统。入侵者本不是系统的用户，没有任何用户权限，入侵者利用系统或程序的漏洞进入系统并获得用户权限，进而提升到管理员权限，并在系统中设置后门。

网络入侵是入侵者常采用的入侵方式。其实，只要用户的网络连接入Internet，就面临着网络入侵的威胁。网络入侵通常分为3个不同的阶段:

第一个阶段是确定入侵目标。动机是发泄不满、取得关键文件或数据、提升用户权限、破坏系统资源的可用性、控制系统实现对其他系统的攻击等。

第二个阶段是侦测目标系统并获取信息。此阶段入侵者通过各种手段获得所需信息，常用的有系统扫描和探测、收集公共数据信息等。

第三个阶段是实施攻击。入侵者利用第二个阶段发现的系统漏洞，采用攻击工具，进入系统以取得网络的访问权。然后，入侵者会去提升其访问权限，以获得管理员权限，这样就可以控制系统的资源，安装后门程序，或是利用它攻击其他目标等。