硬體網路入侵系統的指標包括什麼

❶ 什麼是入侵檢測系統它有哪些基本組件構成

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
· 監視、分析用戶及系統活動；
· 系統構造和弱點的審計；
· 識別反映已知進攻的活動模式並向相關人士報警；
· 異常行為模式的統計分析；
· 評估重要系統和數據文件的完整性；
· 操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網路系統（包括程序、文件和硬體設備等）的任何變更，還能給網路安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網路安全。而且，入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後，會及時作出響應，包括切斷網路連接、記錄事件和報警等。
信息收集入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。而且，需要在計算機網路系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件（黑客隱藏了初試文件並用另一版本代替）。這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面：
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡，因此，充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄「用戶活動」類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用，例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。

❷ 簡述入侵檢測系統功能部件組成

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

二、選擇題

1. IDS產品相關的等級主要有(BCD)等三個等級：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS處理過程分為(ABCD )等四個階段。

A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段

3. 入侵檢測系統的主要功能有(ABCD )：

A: 監測並分析系統和用戶的活動

B: 核查系統配置和漏洞

C: 評估系統關鍵資源和數據文件的完整性。

D: 識別已知和未知的攻擊行為

4. IDS產品性能指標有(ABCD )：

A: 每秒數據流量

B: 每秒抓包數

C: 每秒能監控的網路連接數

D: 每秒能夠處理的事件數

5. 入侵檢測產品所面臨的挑戰主要有(ABCD )：

A: 黑客的入侵手段多樣化

B: 大量的誤報和漏報

C: 惡意信息採用加密的方法傳輸

D: 客觀的評估與測試信息的缺乏

三、判斷題

1. 有了入侵檢測系統以後，我們可以徹底獲得網路的安全。(F )

2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )

3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )

4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )

四、簡答題

1. 什麼是入侵檢測系統？簡述入侵檢測系統的作用？

答：入侵檢測系統（Intrusion Detection System,簡稱IDS）是進行入侵檢測的軟體與硬體的組合，事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態，來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。

2. 比較一下入侵檢測系統與防火牆的作用。

答：防火牆在網路安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道關卡。IDS是並聯在網路中，通過旁路監聽的方式實時地監視網路中的流量，對網路的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說，IDS是網路安全的第二道關卡，是防火牆的必要補充。

3. 簡述基於主機的入侵檢測系統的優缺點？

答：優點：①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境

④成本低

缺點：①它在一定程度上依靠系統的可靠性，要求系統本身具有基本的安全功能，才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外，根本不檢測網路上的情況

4. 簡述基於網路的入侵檢測系統的優缺點？

答：優點：①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊

缺點：①網路入侵檢測系統只能檢查它直接連接的網段的通信，不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法，只可以檢測出普通的一些攻擊，而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流，處理加密的會話過程比較困難。

5. 為什麼要對入侵檢測系統進行測試和評估？

答：①有助於更好地描述IDS的特徵。②通過測試評估，可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估，確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果，可做出一些預測，推斷IDS發展的趨勢，估計風險，制定可實現的IDS質量目標(比如，可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果，對IDS進行改善。

6. 簡述IDS的發展趨勢？

答：①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向

❸ 如何理解異常入侵檢測技術

入侵檢測是用於檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的一種網路安全技術。它通過監視受保護系統的狀態和活動，採用異常檢測或誤用檢測的方式，發現非授權的或惡意的系統及網路行為，為防範入侵行為提供有效的手段。入侵檢測系統（IDS）是由硬體和軟體組成，用來檢測系統或網路以發現可能的入侵或攻擊的系統。IDS通過實時的檢測，檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式，監控與安全有關的活動。

入侵檢測提供了用於發現入侵攻擊與合法用戶濫用特權的一種方法，它所基於的重要的前提是：非法行為和合法行為是可區分的，也就是說，可以通過提取行為的模式特徵來分析判斷該行為的性質。一個基本的入侵檢測系統需要解決兩個問題：
一是如何充分並可靠地提取描述行為特徵的數據；
二是如何根據特徵數據，高效並准確地判斷行為的性質。
入侵檢測系統主要包括三個基本模塊：數據採集與預處理、數據分析檢測和事件響應。系統體系結構如下圖所示。

數據採集與預處理。該模塊主要負責從網路或系統環境中採集數據，並作簡單的預處理，使其便於檢測模塊分析，然後直接傳送給檢測模塊。入侵檢測系統的好壞很大程度上依賴於收集信息的可靠性和正確性。數據源的選擇取決於所要檢測的內容。
數據分析檢測。該模塊主要負責對採集的數據進行數據分析，確定是否有入侵行為發生。主要有誤用檢測和異常檢測兩種方法。
事件響應。該模塊主要負責針對分析結果實施響應操作，採取必要和適當的措施，以阻止進一步的入侵行為或恢復受損害的系統。

異常入侵檢測的主要前提條件是入侵性活動作為異常活動的子集。理想狀況是異常活動集同入侵性活動集相等。在這種情況下，若能檢測所有的異常活動，就能檢測所有的入侵性活動。可是，入侵性活動集並不總是與異常活動集相符合。活動存在四種可能性：

• 入侵性而非異常；
• 非入侵性且異常；
• 非入侵性且非異常；
• 入侵且異常。

異常入侵檢測要解決的問題就是構造異常活動集並從中發現入侵性活動子集。異常入侵檢測方法依賴於異常模型的建立，不同模型就構成不同的檢測方法。異常入侵檢測通過觀測到的一組測量值偏離度來預測用戶行為的變化，並作出決策判斷。異常入侵檢測技術的特點是對於未知的入侵行為的檢測非常有效，但是由於系統需要實時地建立和更新正常行為特徵輪廓，因而會消耗更多的系統資源。