目录

入侵检测系统

入侵防御系统

---

入侵检测系统

美国国防部高级研究计划局（DARPA)提出的公共入侵检测框架（Common Intrusion Detection Framework, CIDF)由4 个模块组成（如下图所示)。

(1)事件产生器(Event generators，E-boxes)。负责数据的采集，并将收集到的原始数据转换为事件，向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自 4个方面：系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息，并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。

(2)事件分析器(Event Analyzers，A-boxes)。接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，分析方法有下面3 种。
•模式匹配。将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策
略的行为。

•统计分析。首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件 (Profle)，这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为。
•数据完整性分析。主要关注文件或系统对象的属性是否被修改，这种方法往往用于事后的审计分析。

(3)事件数据库(Event DataBases，D-boxes)。存放有关事件的各种中间结果和最终数据的地方，可以是面向对象的数据库，也可以是一个文本文件。

(4)响应单元(Response units，R-boxes)。根据报警信息做出各种反应，强烈的反应就是断开连接、改变文件属性等，简单的反应就是发出系统提示，引起操作人员注意。

入侵检测系统是一个监听设备，无须跨接在任何链路上，不产生任何网络流量便可以工作。因此，对IDS 部署的唯一要求是应当挂接在所关注流量必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量以及需要统计、监视的网络报文。目前的网络都是交换式的拓扑结构，因此一般选择在尽可能靠近攻击源，或者尽可能接近受保护资源的地方这些位置通常是:
(1)服务器区域的交换机上。
(2)Internet 接入路由器之后的第一台交换机上。
(3)重点保护网段的局域网交换机上。
典型的入侵检测系统的部署方式如图所示

例题：

在入侵检测系统中，事件分析器接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其常用的三种分析方法中不包括（45）。
(45)A.匹配模式  B.密文分析  C.数据完整性分析 D.统计分析
【答案】B

解析
入侵检测系统由4个模块组成：事件产生器、事件分析器、事件数据库和响应单元。其中，事件分析器负责接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其分析方法有三种：
①模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。
②统计分析：首先给系统对象（例如用户、文件、目录和设备等）建立正常使用时的特征文件（Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为。
③数据完整性分析：主要关注文件或系统对象的属性是否被修改，这种方法往往用于亊后的审计分析。

入侵防御系统

入侵检测系统有效地弥补了防火墙系统，对网络上的入侵行为无法识别和检测的不足，入侵检测系统的部署，使得在网络上的入侵行为得到了较好的检测和识别，并能够进行及时的报警。然而，随着网络技术的不断发展，网络攻击类型和方式也在进行着巨大的变化，入侵检测系统也逐渐的暴露出如漏报、误报率高、灵活性差和入侵响应能力较弱等不足之处。

入侵防御系统是在入侵检测系统的基础上发展起来的，入侵防御系统不仅能够检测到网络中的攻击行为，同时主动的对攻击行为能够发出响应，对攻击进行防御。两者相较，主要存在以下几种区别

1.在网络中的部署位置的不同
IPS 一般是作为一种网络设备串接在网络中的，而IDS 一般是采用旁路挂接的方式，连接在网络中。
2.入侵响应能力的不同
IDS 设备对于网络中的入侵行为，往往是采用将入侵行为记入日志，并向网络管理员发出警报的方式来处理的，对于入侵行为并无主动的采取对应措施，响应方式单一;而入侵防御系统检测到入侵行为后，能够对攻击行为进行主动的防御，例如丢弃攻击连接的数据包以阻断攻击会话，主动发送ICMP 不可到达数据包、记录日志和动态的生成防御规则等多种方式对攻击行为进行防御。

入侵检测系统的优势和缺点

与IDS 系统相比较，IPS 具有其自身的特点，其优点主要表现在以下几个方面：

(1)积极主动的防御攻击。IPS 一方面能够对攻击行为进行检测并发现，同时对攻击行为采取主动的防御措施。
(2)具有较深的防御层次。IPS 能够采取多种方式对于网络攻击采取防御措施，对已知攻击和未知攻击均具有较强的检出率，并对网络攻击流量和网络入侵活动进行拦截，通过重新构建协议栈和对数据进行重组，发现隐藏在多个数据包中的攻击特征，利用数据挖掘技术，对多个数据包中的内容进行分析、鉴别，从而检测出深层次的攻击。

其不足之处主要表现在以下几个方面：
(1)容易造成单点故障。IPS 设备一般是采用串接的方式接入网络中的，如果 IPS 设备出现故障，对网络的可用性将会造成较大的影响;
(2)漏报和误报。由于网络技术的不断发展、网络攻击形式的不断进化和改进，其隐蔽性逐渐提高，而对于入侵检测系统和入侵防御系统均面临着在入侵行为监测中的漏报率和误报率较高的情况。
(3)性能瓶颈IPS 设备传接在网络环境中，需要对实时捕获到的网络数据流量进行分析和检测，以确定是否为攻击数据流量和连接，这样的现实情况，对 IPS 的性能就提出了较高的要求，IPS 处理能力有限，就会对网络性能和网络监测的效率产生较大影响，从而造成网络拥塞现象。