1. 事件響應(yīng)（結(jié)果處理）：

三 入侵檢測系統(tǒng)分類

• 基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、分布式入侵檢測系統(tǒng)

1. 基于主機(jī)的入侵檢測系統(tǒng)（Host-based IDS，HIDS）

• 基于主機(jī)的入侵檢測系統(tǒng)通常被安裝在被保護(hù)的主機(jī)上，對該主機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時，系統(tǒng)就會向管理員報警，以便采取措施。這些受保護(hù)的主機(jī)可以是Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等關(guān)鍵主機(jī)設(shè)備。
• 主機(jī)的數(shù)據(jù)源：操作系統(tǒng)事件日志、應(yīng)用程序日志系統(tǒng)日志、關(guān)系數(shù)據(jù)庫、Web服務(wù)器。
• 檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志。
• HIDS的優(yōu)點：檢測精度高。HIDS針對用戶和系統(tǒng)活動進(jìn)行檢測,更適用于檢測內(nèi)部用戶攻擊或越權(quán)行為。不受加密和交換設(shè)備影響。HIDS只關(guān)注主機(jī)本身發(fā)生的事件，并不關(guān)心主機(jī)之外的網(wǎng)絡(luò)事件，所以檢測性能不受數(shù)據(jù)加密、隧道和交換設(shè)備影響。不受網(wǎng)絡(luò)流量影響。 HIDS并不采集網(wǎng)絡(luò)數(shù)據(jù)包，不會因為網(wǎng)絡(luò)流量增加而丟失對系統(tǒng)行為的監(jiān)視，故其檢測性能與網(wǎng)絡(luò)流量無關(guān)。
• HIDS的缺點 ：HIDS安裝在需要保護(hù)的主機(jī)上，必然會占用主機(jī)系統(tǒng)資源，額外負(fù)載將降低應(yīng)用系統(tǒng)的效率。HIDS完全依賴操作系統(tǒng)固有的審計機(jī)制，所以必須與操作系統(tǒng)緊密集成，導(dǎo)致平臺的可移植性差。HIDS本身的健壯性也受到主機(jī)操作系統(tǒng)安全性的限制。HIDS只能檢測針對本機(jī)的攻擊，而不能檢測基于網(wǎng)絡(luò)協(xié)議的攻擊。

1. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）：安裝在需要保護(hù)的網(wǎng)段中，實時監(jiān)視網(wǎng)段中傳輸的各種數(shù)據(jù)包，并對這些數(shù)據(jù)包進(jìn)行分析和檢測。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會發(fā)出警報甚至切斷網(wǎng)絡(luò)連接。

• 網(wǎng)絡(luò)監(jiān)聽：在一個共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍。管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況。開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況。黑客可以用來刺探網(wǎng)絡(luò)情報。
• NIDS的優(yōu)點： 檢測與響應(yīng)速度快。NIDS能夠在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖，在攻擊目標(biāo)遭受破壞之前即可執(zhí)行快速響應(yīng)中止攻擊過程。入侵監(jiān)視范圍大。由于每個網(wǎng)絡(luò)傳感器能夠采集共享網(wǎng)段內(nèi)的所有數(shù)據(jù)包，一個網(wǎng)絡(luò)傳感器就可以保護(hù)一個網(wǎng)段。因此，只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝網(wǎng)絡(luò)傳感器，就可以監(jiān)視整個網(wǎng)絡(luò)通信。入侵取證可靠。NIDS通過捕獲數(shù)據(jù)包收集入侵證據(jù)，攻擊者無法轉(zhuǎn)移證據(jù)。能夠檢測協(xié)議漏洞攻擊。許多攻擊程序是基于網(wǎng)絡(luò)協(xié)議漏洞編寫的，諸如同步洪流（SYN flood）、Smurf攻擊和淚滴攻擊（teardrop）等只有通過查看數(shù)據(jù)包頭或有效負(fù)載才能識別。

1. 分布式入侵檢測系統(tǒng)（DIDS）：網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，使得：系統(tǒng)的弱點或漏洞分散在網(wǎng)絡(luò)中的各個主機(jī)上，這些弱點有可能被入侵者用來攻擊網(wǎng)絡(luò)，而僅依靠一個主機(jī)或網(wǎng)絡(luò)的入侵檢測系統(tǒng)很難發(fā)現(xiàn)入侵行為。入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點，例如分布式拒絕服務(wù)攻擊。入侵檢測所依靠的數(shù)據(jù)來源分散化，使得收集原始的檢測數(shù)據(jù)變得比較困難。

• 分布式入侵檢測系統(tǒng)（DIDS）的目標(biāo)是既能檢測網(wǎng)絡(luò)入侵行為，又能檢測主機(jī)的入侵行為。
• 檢測器的位置：

• 基于網(wǎng)絡(luò)的技術(shù)面臨的問題：在某些采用交換技術(shù)的網(wǎng)絡(luò)環(huán)境中，交換機(jī)制使得網(wǎng)絡(luò)報文不能在子網(wǎng)內(nèi)任意廣播，只能在設(shè)定的虛網(wǎng)（VLAN）內(nèi)廣播，這就使得進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只能提取到本虛網(wǎng)內(nèi)的數(shù)據(jù)，監(jiān)視范圍大為減少，監(jiān)視的能力也受到削弱。

四 入侵檢測方法

1. 濫用檢測（Misuse Detection）

• 濫用檢測也被稱為誤用檢測或者基于特征的檢測。這種方法首先直接對入侵行為進(jìn)行特征化描述，建立某種或某類入侵特征行為的模式，如果發(fā)現(xiàn)當(dāng)前行為與某個入侵模式一致，就表示發(fā)生了這種入侵。
• 濫用檢測特點：

1. 異常檢測（Anomaly Detection）

• 基本思想：任何人的正常行為都是有一定規(guī)律的，并且可以通過分析這些行為產(chǎn)生的日志信息（假定日志信息足夠完全）總結(jié)出一些規(guī)律，而入侵和濫用行為則通常與正常行為會有比較大的差異，通過檢查出這些差異就可以檢測出入侵。
• 主要方法：為正常行為建立一個規(guī)則集，稱為正常行為模式，也稱為正常輪廓（normal profile），也被稱為“用戶輪廓”，當(dāng)用戶活動和正常輪廓有較大偏離的時候認(rèn)為異?；蛉肭中袨椤＿@樣能夠檢測出非法的入侵行為甚至是通過未知攻擊方法進(jìn)行的入侵行為，此外不屬于入侵的異常用戶行為（濫用自己的權(quán)限）也能被檢測到。
• 異常檢測特點：

• 異常檢測使用的一些方法：

1. 統(tǒng)計異常檢測
2. 基于特征選擇異常檢測
3. 基于貝葉斯推理異常檢測
4. 基于貝葉斯網(wǎng)絡(luò)異常檢測
5. 基于模式預(yù)測異常檢測
6. 基于神經(jīng)網(wǎng)絡(luò)異常檢測
7. 基于貝葉斯聚類異常檢測
8. 基于機(jī)器學(xué)習(xí)異常檢測
9. 基于數(shù)據(jù)挖掘異常檢測

• 兩種方式比較

• 入侵檢測的發(fā)展方向：

1. 工業(yè)界：

主要的研究內(nèi)容是如何通過優(yōu)化檢測系統(tǒng)的算法來提高入侵檢測系統(tǒng)的綜合性能與處理速度，以適應(yīng)千兆網(wǎng)絡(luò)的需求。

1. 學(xué)術(shù)界：

主要通過引入各種智能計算方法，使入侵檢測技術(shù)向智能化方向發(fā)展。人工神經(jīng)網(wǎng)絡(luò)技術(shù)，人工免疫技術(shù)，數(shù)據(jù)挖掘技術(shù)

• 入侵檢測系統(tǒng)的局限性：

1. 誤報和漏報的矛盾
2. 隱私和安全的矛盾
3. 被動分析與主動發(fā)現(xiàn)的矛盾
4. 海量信息與分析代價的矛盾
5. 功能性和可管理性的矛盾
6. 單一產(chǎn)品與復(fù)雜網(wǎng)絡(luò)應(yīng)用的矛盾

五 網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品

• Snort是最流行的免費NIDS。Snort是基于濫用/異常檢測的IDS，使用規(guī)則的定義來檢查網(wǎng)絡(luò)中的問題數(shù)據(jù)包。Snort由以下幾個部分組成：數(shù)據(jù)包嗅探器、預(yù)處理器、檢測引擎、報警輸出模塊。
• RealSecure：1996年， RealSecure首先被作為一種傳統(tǒng)的基于傳感器的網(wǎng)絡(luò)入侵檢測系統(tǒng)來開發(fā)，1998年成為一種混合入侵檢測系統(tǒng)。正在努力提供一種混合的OS日志及網(wǎng)絡(luò)分組性能，設(shè)計為放置在協(xié)議棧的IP層之下和IP層之上。多種響應(yīng)方式

報警輸出模塊。

• RealSecure：1996年， RealSecure首先被作為一種傳統(tǒng)的基于傳感器的網(wǎng)絡(luò)入侵檢測系統(tǒng)來開發(fā)，1998年成為一種混合入侵檢測系統(tǒng)。正在努力提供一種混合的OS日志及網(wǎng)絡(luò)分組性能，設(shè)計為放置在協(xié)議棧的IP層之下和IP層之上。多種響應(yīng)方式
• Network ICE

網(wǎng)絡(luò)安全學(xué)習(xí)資源分享:

零基礎(chǔ)入門

對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個大的方向?qū)W習(xí)準(zhǔn)沒問題。

CSDN大禮包：《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享

同時每個成長路線對應(yīng)的板塊都有配套的視頻提供：

CSDN大禮包：《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享

因篇幅有限，僅展示部分資料，需要點擊上方鏈接即可獲取

這份完整版的網(wǎng)絡(luò)安全（嘿客）全套學(xué)習(xí)資料已經(jīng)上傳至CSDN官方，朋友們?nèi)绻枰c擊下方鏈接也可掃描下方微信二v碼獲取網(wǎng)絡(luò)工程師全套資料【保證100%免費】

文章來源地址http://www.zghlxwxcb.cn/news/detail-640102.html

如果你有需要可以點擊??CSDN大禮包：《嘿客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享

到了這里，關(guān)于網(wǎng)絡(luò)安全之入侵檢測系統(tǒng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！