伺服器入侵檢測

1、如何入侵一個伺服器

什麼學校，有這樣好的比賽，，，
如果是我，先掃描下主機漏洞。弱口令，開啟的埠服務什麼的，這個可以用X-SCAN 或流光，當然其他很多也可以，個人習慣問題，。然後針對漏洞入侵。
也可以間接的從伺服器的程序入手，加入是dvbbs，應該會有很多漏洞，現在不清楚了，。看什麼版本，。，先檢查注入漏洞。上傳漏洞，後台密碼暴力破解，等等。，不管那個漏洞。，知道後直接上傳網馬，先拿shell，然後提權，獲取伺服器管理許可權。這樣就可以直接從程序中的網馬控制伺服器的任何一個文件。更別說建立一個文檔了，。具體看什麼伺服器，什麼程序。，什麼漏洞，，，，黑客手段是千變萬化的。。。

2、什麼是入侵檢測?

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測技術
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統
入侵檢測技術的分類：
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1 ．特徵檢測：
特徵檢測 (Signature-based detection) 又稱 Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2 ．異常檢測：
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
入侵檢測系統的工作步驟
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。而且，需要在計算機網路系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件（黑客隱藏了初試文件並用另一版本代替）。這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
1.系統和網路日誌文件

黑客經常在系統日誌文件中留下他們的蹤跡，因此，充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄「用戶活動」類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容，一是未授權的對網路硬體連接；二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛，如果他們能夠在物理上訪問內部網，就能安裝他們自己的設備和軟體。依此，黑客就可以知道網上的由用戶加上去的不安全（未授權）設備，然後利用這些設備訪問網路。例如，用戶在家裡可能安裝Modem以訪問遠程辦公室，與此同時黑客正在利用自動工具來識別在公共電話線上的Modem，如果一撥號訪問流量經過了這些自動工具，那麼這一撥號訪問就成為了威脅網路安全的後門。黑客就會利用這個後門來訪問內部網，從而越過了內部網路原有的防護措施，然後捕獲網路流量，進而攻擊其它系統，並偷取敏感的私有信息等等。
信號分析

對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3.完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。盡管如此，完整性檢測方法還應該是網路安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網路系統進行全面地掃描檢查。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。
入侵檢測功能
·監督並分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理，判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在於：
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據文件的改動
·發現系統配置的錯誤，必要時予以更正
·識別特定類型的攻擊，並向相應人員報警，以作出防禦反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望：這些產品並不是無所不能的，它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下，無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網路協議的漏洞
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網路的硬體及特性
入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網的關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品（缺乏升級和服務）階段，或者是防火牆中集成較為初級的入侵檢測模塊。可見，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，我們認為，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究

3、常用的入侵檢測軟體有哪些，舉4個以上的例子，謝謝啦

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它採用靈活的基於規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，並成為防禦技術的標准。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、埠掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。
2.OSSEC HIDS：這一個基於主機的開源入侵檢測系統，它可以執行日誌分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日誌分析引擎，互聯網供應商、大學和數據中心都樂意運行 OSSEC HIDS，以監視和分析其防火牆、IDS、Web伺服器和身份驗證日誌3.Fragroute/Fragrouter：是一個能夠逃避網路入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改並重寫發往一台特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一台特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、列印、記錄、源路由跟蹤等。嚴格來講，這個工具是用於協助測試網路入侵檢測系統的，也可以協助測試防火牆，基本的TCP/IP堆棧行為。可不要濫用這個軟體呵。
4.BASE：又稱基本的分析和安全引擎，BASE是一個基於PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火牆、網路監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找介面，這種介面能夠發現不同匹配模式的警告，還包括一個數據包查看器/解碼器，基於時間、簽名、協議、IP地址的統計圖表等。
5.Sguil：這是一款被稱為網路安全專家監視網路活動的控制台工具，它可以用於網路安全分析。其主要部件是一個直觀的GUI界面，可以從 Snort/barnyard提供實時的事件活動。還可藉助於其它的部件，實現網路安全監視活動和IDS警告的事件驅動分析。

4、簡述入侵檢測的過程

1.信息收集入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。

2.信號分析對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

具體的技術形式如下所述：

1).模式匹配

模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

2).統計分析

分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。

3).完整性分析

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。

3.實時記錄、報警或有限度反擊

IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。

5、入侵防護系統(IPS)的原理?

IPS原理

防火牆是實施訪問控制策略的系統，對流經的網路流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量，但仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的，而不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保准確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾准確性。

過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

IPS的種類

* 基於主機的入侵防護(HIPS)

HIPS通過在主機/伺服器上安裝軟體代理程序，防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品，因此它們在防範紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS採用獨特的伺服器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以以軟體形式嵌入到應用程序對操作系統的調用當中，通過攔截針對操作系統的可疑調用，提供對主機的安全防護;也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關，不同的平台需要不同的軟體代理程序。

* 基於網路的入侵防護(NIPS)

NIPS通過檢測流經的網路流量，提供對網路系統的安全保護。由於它採用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話。同樣由於實時在線，NIPS需要具備很高的性能，以免成為網路的瓶頸，因此NIPS通常被設計成類似於交換機的網路設備，提供線速吞吐速率以及多個網路埠。

NIPS必須基於特定的硬體平台，才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類：一類是網路處理器(網路晶元)，一類是專用的FPGA編程晶元，第三類是專用的ASIC晶元。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵，還要檢查當前網路的會話狀態，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網路協議的高度有序性，並結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC)，還基於協議的具體實現，這是因為很多協議的實現偏離了協議標准。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

* 應用入侵防護(AIP)

NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備，配置在應用數據的網路鏈路上，以確保用戶遵守設定好的安全策略，保護伺服器的安全。NIPS工作在網路上，直接對數據包進行檢測和阻斷，與具體的主機/伺服器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

IPS技術特徵

嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

入侵特徵庫：高質量的入侵特徵庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特徵庫，並快速應用到所有感測器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。

IPS面臨的挑戰

IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。

即使 IPS 設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。

誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。

IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術，二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基於網路的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一台純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

IPS的不足並不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對於用戶而言，在廠商提供技術支持的條件下，有選擇地採用IPS，仍不失為一種應對攻擊的理想選擇。

6、基於Linux伺服器的免費入侵檢測系統都有哪些？

通常由LIDS Tripwire logcheck 這些軟體包綜合組成全方位的 IDS
http://www.lids.org/

7、什麼叫做入侵檢測?入侵檢測系統的基本功能是什麼?

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向

8、簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(8)伺服器入侵檢測擴展資料

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

9、入侵檢測系統可以分為哪幾類？

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

(9)伺服器入侵檢測擴展資料：

對IDS的要求：

IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一台交換機上；重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。