硬件网络入侵系统的指标包括什么

❶ 什么是入侵检测系统它有哪些基本组件构成

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：
· 监视、分析用户及系统活动；
· 系统构造和弱点的审计；
· 识别反映已知进攻的活动模式并向相关人士报警；
· 异常行为模式的统计分析；
· 评估重要系统和数据文件的完整性；
· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。
信息收集入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面：
1.系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2.目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。
3.程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。

❷ 简述入侵检测系统功能部件组成

1. 入侵者进入我们的系统主要有三种方式： 物理入侵 、系统入侵、远程入侵。

2. 入侵检测系统是进行入侵检测的软件与硬件的组合。

3. 入侵检测系统由三个功能部分组成，它们分别是感应器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和

基于网络的入侵检测系统。

5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。

6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。

二、选择题

1. IDS产品相关的等级主要有(BCD)等三个等级：

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS处理过程分为(ABCD )等四个阶段。

A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段

3. 入侵检测系统的主要功能有(ABCD )：

A: 监测并分析系统和用户的活动

B: 核查系统配置和漏洞

C: 评估系统关键资源和数据文件的完整性。

D: 识别已知和未知的攻击行为

4. IDS产品性能指标有(ABCD )：

A: 每秒数据流量

B: 每秒抓包数

C: 每秒能监控的网络连接数

D: 每秒能够处理的事件数

5. 入侵检测产品所面临的挑战主要有(ABCD )：

A: 黑客的入侵手段多样化

B: 大量的误报和漏报

C: 恶意信息采用加密的方法传输

D: 客观的评估与测试信息的缺乏

三、判断题

1. 有了入侵检测系统以后，我们可以彻底获得网络的安全。(F )

2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )

3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )

4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )

四、简答题

1. 什么是入侵检测系统？简述入侵检测系统的作用？

答：入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态，来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。

2. 比较一下入侵检测系统与防火墙的作用。

答：防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道关卡。IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道关卡，是防火墙的必要补充。

3. 简述基于主机的入侵检测系统的优缺点？

答：优点：①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境

④成本低

缺点：①它在一定程度上依靠系统的可靠性，要求系统本身具有基本的安全功能，才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外，根本不检测网络上的情况

4. 简述基于网络的入侵检测系统的优缺点？

答：优点：①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击

缺点：①网络入侵检测系统只能检查它直接连接的网段的通信，不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法，只可以检测出普通的一些攻击，而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流，处理加密的会话过程比较困难。

5. 为什么要对入侵检测系统进行测试和评估？

答：①有助于更好地描述IDS的特征。②通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估，确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果，可做出一些预测，推断IDS发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果，对IDS进行改善。

6. 简述IDS的发展趋势？

答：①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向

❸ 如何理解异常入侵检测技术

入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。入侵检测系统（IDS）是由硬件和软件组成，用来检测系统或网络以发现可能的入侵或攻击的系统。IDS通过实时的检测，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监控与安全有关的活动。

入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，它所基于的重要的前提是：非法行为和合法行为是可区分的，也就是说，可以通过提取行为的模式特征来分析判断该行为的性质。一个基本的入侵检测系统需要解决两个问题：
一是如何充分并可靠地提取描述行为特征的数据；
二是如何根据特征数据，高效并准确地判断行为的性质。
入侵检测系统主要包括三个基本模块：数据采集与预处理、数据分析检测和事件响应。系统体系结构如下图所示。

数据采集与预处理。该模块主要负责从网络或系统环境中采集数据，并作简单的预处理，使其便于检测模块分析，然后直接传送给检测模块。入侵检测系统的好坏很大程度上依赖于收集信息的可靠性和正确性。数据源的选择取决于所要检测的内容。
数据分析检测。该模块主要负责对采集的数据进行数据分析，确定是否有入侵行为发生。主要有误用检测和异常检测两种方法。
事件响应。该模块主要负责针对分析结果实施响应操作，采取必要和适当的措施，以阻止进一步的入侵行为或恢复受损害的系统。

异常入侵检测的主要前提条件是入侵性活动作为异常活动的子集。理想状况是异常活动集同入侵性活动集相等。在这种情况下，若能检测所有的异常活动，就能检测所有的入侵性活动。可是，入侵性活动集并不总是与异常活动集相符合。活动存在四种可能性：

• 入侵性而非异常；
• 非入侵性且异常；
• 非入侵性且非异常；
• 入侵且异常。

异常入侵检测要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型就构成不同的检测方法。异常入侵检测通过观测到的一组测量值偏离度来预测用户行为的变化，并作出决策判断。异常入侵检测技术的特点是对于未知的入侵行为的检测非常有效，但是由于系统需要实时地建立和更新正常行为特征轮廓，因而会消耗更多的系统资源。