新手如何构建一个入门级入侵检测系统

通常来说，一个企业或机构准备进军此领域时，往往选择从基于 *** 的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于 *** 的IDS适应能力强。有了简单 *** IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于 *** 的IDS为例，介绍典型的IDS开发思路。 根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分

通常来说，一个企业或机构准备进军此领域时，往往选择从基于 *** 的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于 *** 的IDS适应能力强。有了简单 *** IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于 *** 的IDS为例，介绍典型的IDS开发思路。

根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。

具体实现起来，一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起，我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。

可以按照如下步骤构建一个基本的入侵检测系统。

之一步 获取Libpcap和Tcpdump

审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。数据采集子系统位于IDS的更底层，其主要目的是从 *** 环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用Libpcap和Tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。

Libpcap是Unix或Linux从内核捕获 *** 数据包的必备工具，它是独立于系统的API接口，为底层 *** 监控提供了一个可移植的框架，可用于 *** 统计收集、安全监控、 *** 调试等应用。

Tcpdump是用于 *** 监控的工具，可能是Unix上最著名的Sniffer了，它的实现基于Libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流（ *** 流类型、连接等）信息，至于分析 *** 活动是否正常，那是程序员和管理员所要做的工作。Libpcap和Tcpdump在网上广为流传，开发者可以到相关网站下载。

第二步 构建并配置探测器，实现数据采集功能

1. 应根据自己 *** 的具体情况，选用合适的软件及硬件设备，如果你的 *** 数据流量很小，用一般的PC机安装Linux即可，如果所监控的 *** 流量非常大，则需要用一台性能较高的机器。

2. 在Linux服务器上开出一个日志分区，用于采集数据的存储。

3. 创建Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用Make命令创建Libpcap库。Libpcap安装完毕之后，将生成一个Libpcap库、三个include文件和一个Man页面（即用户手册）。

4. 创建Tcpdump。与创建Libpcap的过程一样，先将压缩包解压缩、解包到与Libpcap相同的父目录下，然后配置、安装Tcpdump。

如果配置、创建、安装等操作一切正常的话，到这里，系统已经能够收集到 *** 数据流了。至于如何使用Libpcap和Tcpdump，还需要参考相关的用户手册。

第三步 建立数据分析模块

网上有一些开放源代码的数据分析软件包，这给我们构建数据分析模块提供了一定的便利条件，但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实用的IDS，通常都需要开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点。

数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，开发者需要对各种 *** 协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。 设计数据分析模块的工作量浩大，并且，考虑到“道高一尺，魔高一丈”的黑客手法日益翻新，所以，这注定是一个没有终点的过程，需要不断地更新、升级、完善。在这里需要特别注意三个问题：

① 应优化检测模型和算法的设计，确保系统的执行效率；

② 安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；

③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。

第四步 构建控制台子系统

控制台子系统负责向 *** 管理员汇报各种 *** 违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行，所以，为了把IDS做成一个通用、易用的系统，笔者建议将控制台子系统在Windows系列平台上实现。

控制台子系统的主要任务有两个：

① 管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；

② 根据安全策略进行一系列的响应动作，以阻止非法行为，确保 *** 的安全。

控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。

1．警报信息查询： *** 管理员可以使用单一条件或复合条件进行查询，当警报信息数量庞大、来源广泛的时候，系统需要对警报信息按照危险等级进行分类，从而突出显示 *** 管理员需要的最重要信息。

2．探测器管理：控制台可以一次管理多个探测器（包括启动、停止、配置、查看运行状态等），查询各个网段的安全状况，针对不同情况制订相应的安全规则。

3．规则库管理功能：为用户提供一个根据不同网段具体情况灵活配置安全策略的工具，如一次定制可应用于多个探测器、默认安全规则等。

4．用户管理：对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。

第五步 构建数据库管理子系统

一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些 *** 事件。

数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个：

① 数据分析子系统发来的报警信息及其他重要信息；

② 管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。

第六步 联调，一个基本的IDS搭建完毕

以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。

首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，更好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、 *** 事件重建等。

联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。

什么软件可以检测服务器端的站点受恶意用户攻击，并能检测到是否有人在网站上挂马，或其他恶意行为的。

服务器安全这问题，很重要，之前服务器被黑，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们都建议我找专业做服务器安全的安全公司来给做安全维护，也一致的推荐了sinesafe，服务器被黑的问题，才得以解决。

一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。

下面是一些关于安全方面的建议！

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1.修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序之一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码更好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

之一步：修改后台里的验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后在修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此 *** 是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全之一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。更好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

什么是入侵检测?

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析 *** 行为、安全日志、审计数据、其它 *** 上可以获得的信息以及计算机系统中若干关键点的信息，检查 *** 或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在 *** 系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响 *** 性能的情况下能对 *** 进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付 *** 攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息，并分析这些信息，看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机 *** 中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统

入侵检测技术的分类：

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1 ．特征检测：

特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵 *** 检查出来，但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2 ．异常检测：

异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

入侵检测系统的工作步骤

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解 *** 系统（包括程序、文件和硬件设备等）的任何变更，还能给 *** 安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得 *** 安全。而且，入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断 *** 连接、记录事件和报警等。

信息收集

入侵检测的之一步是信息收集，内容包括系统、 *** 、数据及用户活动的状态和行为。而且，需要在计算机 *** 系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测 *** 系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

1.系统和 *** 日志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

*** 环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

*** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与 *** 间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容，一是未授权的对 *** 硬件连接；二是对物理资源的未授权访问。黑客会想方设法去突破 *** 的周边防卫，如果他们能够在物理 *** 问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问 *** 。例如，用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共 *** 线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁 *** 安全的后门。黑客就会利用这个后门来访问内部网，从而越过了内部 *** 原有的防护措施，然后捕获 *** 流量，进而攻击其它系统，并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、 *** 、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种 *** 用于实时的入侵检测，而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的 *** 入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该 *** 的一大优点是只需收集相关的数据 *** ，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的 *** 一样，检测准确率和效率都相当高。但是，该 *** 存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析 *** 首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与 *** 、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析 *** 如基于专家系统的、基于模型推理的和基于神经 *** 的分析 *** ，目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配 *** 和统计分析 *** 能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测 *** 还应该是 *** 安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对 *** 系统进行全面地扫描检查。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而更大程度地为企业 *** 提供安全。

入侵检测功能

·监督并分析用户和系统的活动

·检查系统配置和漏洞

·检查关键系统和数据文件的完整性

·识别代表已知攻击的活动模式

·对反常行为模式的统计分析

·对操作系统的校验管理，判断是否有破坏安全的用户活动。

·入侵检测系统和漏洞评估工具的优点在于：

·提高了信息安全体系其它部分的完整性

·提高了系统的监察能力

·跟踪用户从进入到退出的所有活动或影响

·识别并报告数据文件的改动

·发现系统配置的错误，必要时予以更正

·识别特定类型的攻击，并向相应人员报警，以作出防御反应

·可使系统管理人员最新的版本升级添加到程序中

·允许非专家人员从事系统安全工作

·为信息安全策略的创建提供指导

·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制

·在无人干预的情况下，无法执行对攻击的检查

·无法感知公司安全策略的内容

·不能弥补 *** 协议的漏洞

·不能弥补由于系统提供信息的质量或完整性的问题

·它们不能分析 *** 繁忙时所有事务

·它们不能总是对数据包级的攻击进行处理

·它们不能应付现代 *** 的硬件及特性

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在 *** 系统受到危害之前拦截和响应入侵。从 *** 安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究

常用的几种入侵检测系统？我就知道snort，还有哪些？详细介绍一下。

Snort有三种工作模式：嗅探器、数据包记录器、 *** 入侵检测系统。嗅探器模式仅仅是从 *** 上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析 *** 数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

Snort最重要的用途还是作为 *** 入侵检测系统(NIDS)。

简述入侵检测常用的四种 ***

1）特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测 *** 上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该 *** 预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

2）统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。

统计 *** 的更大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

3）专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

4）文件完整性检查

文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。

常用的入侵检测软件有哪些，举4个以上的例子，谢谢啦

1.Snort：这是一个几乎人人都喜爱的开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测 *** 结合起来。其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意，用户需要检查免费的BASE来分析Snort的警告。

2.OSSEC HIDS：这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter：是一个能够逃避 *** 入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲，这个工具是用于协助测试 *** 入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。可不要滥用这个软件呵。

4.BASE：又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、 *** 监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5.Sguil：这是一款被称为 *** 安全专家监视 *** 活动的控制台工具，它可以用于 *** 安全分析。其主要部件是一个直观的GUI界面，可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件，实现 *** 安全监视活动和IDS警告的事件驱动分析。

*** 入侵检测软件

http://zhidao.baidu.com/question/34576604.html

·B/S结构入侵检测软件的时代已经来临 关于 *** 安全软件B/S、C/S两种结构的优劣，近两年来出现过一些技术性的争论，但目前业内人士已经基本达成共识，B/S结构的优越性得到了普遍的认可，B/S结构是否能成为C/S结构的终结者还有待时间的验证。

何为C/S、B/S结构

C/S结构软件（即客户机/服务器模式）分为客户机和服务器两层，客户机不是毫无运算能力的输入、输出设备，而是具备了一定的数据处理和数据存储能力；通过把应用软件的计算和数据合理地分配在客户机和服务器两端，可以有效地降低 *** 通信量和服务器运算量。由于服务器连接数量和数据通信量的限制，这种结构的软件适于在用户数目不多的局域网内使用。

B/S结构软件（浏览器/服务器模式）是随着Internet技术的兴起，对C/S结构的一种改进。在这种结构中，软件应用的业务逻辑完全在应用服务器端实现，用户表现完全在Web服务器实现，客户端只需要浏览器即可进行业务处理，是一种全新的软件系统构造技术。这种结构已经成为当今应用软件的首选体系结构。

B/S入侵检测软件的优越性

目前 *** 安全领域备受瞩目的入侵检测软件也有B/S和C/S两大类，由于B/S软件先天的优越性，使得采用这种结构的入侵检测软件逐步受到用户的欢迎，表现出愈来愈强的市场竞争力，其优越性主要体现在下面几个方面。

更低的布署成本

传统的C/S结构入侵检测系统需要在管理主机上安装客户端软件及第三方数据库（SQL Server 2000、Access 2000等），如果用户需要在多台主机上管理设备则需要大量的重复安装工作，而B/S结构的入侵检测软件避免了这些麻烦，开机即可运行无需安装数据库软件，简化了用户端的环境要求，用户也无须为了使用这种软件而安装任何数据库软件或单独的设备，只需具备IE浏览器即可操作。如此显著的易用性大大降低了入侵检测系统在一个用户 *** 中的布署成本，成为这类入侵检测软件最吸引用户的因素之一。

在目前国内的入侵检测产品已经有少数技术领先的厂家开始采用B/S结构，榕基网安就是其中比较有代表性的一个。榕基RJ－IDS入侵检测系统问世于2005年，其基于WEB2.0模式的B/S软件结构有着采用C/S结构的入侵检测软件无法比拟的优势，目前已经陆续应用于电力、电信、金融等大型行业。

更高的数据安全性

C/S结构软件在保护数据的安全性方面有着先天的弊端。由于C/S结构软件的数据分布特性，客户端所发生的火灾、盗抢、地震、病毒等都将成为可怕的数据杀手。另外，对于集团公司内部 *** 中常见的多级应用，C/S结构的软件必须安装多个服务器，并在多个服务器之间进行数据同步。如此一来，每个数据点上的数据安全性都将影响到整个应用的数据安全性。所以，对于集团公司多级的大型应用来讲，C/S结构软件的安全性是令人无法接受的。

由于B/S结构数据集中存放于总部的数据库服务器，客户端不保存任何业务数据和数据库连接信息，也无需进行数据同步，所以上述安全问题也就不必担心了。对于所安装的入侵检测系统采用C/S软件结构的用户，还需要一台装有Windows操作系统的PC机来安装客户端和数据库作为控制台，在日常的应用中，这样的控制台的安全性难以保证，容易因内部人员滥用以及外部攻击而失去起码的安全保障，而对于采用了B/S结构的入侵检测软件来说，这个问题也不存在。所以从数据安全的角度看来，入侵检测系统采用B/S结构尤其重要，榕基 *** 入侵检测系统正是通过更为先进的B/S软件结构为用户的系统带来更可靠的数据安全性。

[01] [02] [下一页]

【频道首页】【对本文感兴趣】【大 中 小】【发MAIL给好友】【收藏】【打印】【回到顶部】网关导航：网关报价 | 网关图片 | 网关排行榜 | 论坛 | 产品库 | 订阅

更多相关：入侵检测 *** 安全 B/S

办公· *** 精选

什么是入侵者检测系统

话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线 *** 不但因为基于传统有线 *** TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。

来自无线局域网的安全

无线局域网容易受到各种各样的威胁。象802.11标准的加密 *** 和有线

对等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Sche *** ng Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。

黑客通过欺骗（rogue）WAP得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在 *** 上安装的后门程序，也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。

基于802.11标准的 *** 还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。象微波炉，无线 *** 也可能威胁基于802.11标准的无线 *** 。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。

另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。对于这种攻击，现在暂时还没有好的防御 *** ，但我们会在将来提出一个更好的解决方案。

入侵检测

入侵检测系统(IDS)通过分析 *** 中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的 *** 行为，对异常的 *** 流量进行报警。

无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。如今，在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如：自由软件开放源代码组织的Snort-Wireless 和WIDZ 。

架构

无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ，搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。

无线局域网通常被配置在一个相对大的场所。象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。由于这种物理架构，大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。

物理回应

物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程 *** ,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小，特别反映小组就拿出Ki *** et或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,

策略执行

无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。

威胁检测

无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogue WAPS，识别出未加密的802.11标准的数据流量。

为了更好的发现潜在的 WAP 目标，黑客通常使用扫描软件。Netstumbler 和Ki *** et这样的软件来。使用全球卫星定位系统（Global Positioning System ）来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。

比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在 *** 上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。

除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP 的无线上网用户。

无线入侵检测系统的缺陷

虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。

结论

无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。