關於計算機網路入侵檢測問答

㈠ 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(1)關於計算機網路入侵檢測問答擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

㈡ 網路上的入侵檢測系統有什麼功能

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計 數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

㈢ 漫談如何正確使用「網路入侵檢測系統」求解

隨著網路安全風險系數不斷提高，曾經作為最主要的安全防範手段的防火牆，已經不能滿足人們對網路安全的需求。 作為對防火牆及其有益的補充，IDS（入侵檢測系統）能夠幫助網路系統快速發現網路攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。
IDS被認為是防火牆之後的第二道安全閘門，它能在不影響網路性能的情況下對網路進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 伴隨著計算機網路技術和互聯網的飛速發展，網路攻擊和入侵事件與日俱增，特別是近兩年，政府部門、軍事機構、金融機構、企業的計算機網路頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網路進行攻擊和入侵，如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝後門監聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構和企業帶來了巨大的經濟損失和形象的損害，甚至直接威脅到國家的安全。 一、存在的問題 攻擊者為什麼能夠對網路進行攻擊和入侵呢？原因在於，我們的計算機網路中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，主要表現在操作系統、網路服務、TCP/IP協議、應用程序（如資料庫、瀏覽器等）、網路設備等幾個方面。正是這些弱點、漏洞和不安全設置給攻擊者以可乘之機。另外，由於大部分網路缺少預警防護機制，即使攻擊者已經侵入到內部網路，侵入到關鍵的主機，並從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。 那麼，我們如何防止和避免遭受攻擊和入侵呢？首先要找出網路中存在的安全弱點、漏洞和不安全的配置；然後採用相應措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵；同時，對網路活動進行實時監測，一旦監測到攻擊行為或違規操作，能夠及時做出反應，包括記錄日誌、報警甚至阻斷非法連接。 IDS的出現，解決了以上的問題。設置硬體防火牆，可以提高網路的通過能力並阻擋一般性的攻擊行為；而採用IDS入侵防護系統，則可以對越過防火牆的攻擊行為以及來自網路內部的違規操作進行監測和響應。 二、IDS日顯重要 目前，隨著IDS技術的逐漸成熟，在整個安全部署中的重要作用正在被廣大用戶所認可和接受。為了確保網路安全，必須建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。IDS就是安全防護體系中重要的一環，它能夠及時識別網路中發生的入侵行為並實時報警。IDS是繼「防火牆」、「信息加密」等傳統安全保護方法之後的新一代安全保障技術。它監視計算機系統或網路中發生的事件，並對它們進行分析，以尋找危及機密性、完整性、可用性或繞過安全機制的入侵行為。IDS就是自動執行這種監視和分析過程的安全產品。 IDS的主要優勢是監聽網路流量，不會影響網路的性能。雖然在理論上，IDS對用戶不是必需的，但它的存在確實減少了網路的威脅。有了IDS，就像在一個大樓里安裝了監視器一樣，可對整個大樓進行監視，用戶感覺很踏實，用IDS對用戶來說是很值得的。

㈣ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測系統（Intrusion-detection system，下稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。 我們做一個形象的比喻：假如防火牆是一幢大樓的門衛，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類。根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是： ·伺服器區域的交換機上 ·Internet接入路由器之後的第一台交換機上 ·重點保護網段的區域網交換機上 由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。系統分類根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。

㈤ 網路入侵的簡答題

問題1
1.黑盾網路入侵檢測系統（HDIDS）概述
黑盾入侵檢測系統（HDIDS）是福建省海峽信息技術有限公司自行研製開發的網路入侵檢測系統。黑盾入侵檢測系統（HDIDS）可以24小時不間斷地對受保護網段上的數據包進行偵聽和分析，判斷是否發生入侵行為；在入侵行為發生時，實時做出響應，記錄所發生的攻擊事件，還可以進一步根據攻擊事件響應的預先設置，對攻擊行為進行阻斷。
2.黑盾網路入侵檢測系統（HDIDS）技術特點
擁有豐富、准確的入侵偵測特徵庫，能夠識別黑客攻擊手法1400種以上（各種buffer overflow，port scan，Cgi attach，SMB probe等）；
實時識別黑客攻擊的網路數據包，實時偵測對網路的非法侵襲，追蹤入侵者的攻擊位置，可准確顯示其數據目標和來源，及時向管理員報警；
對於已經識別的黑客攻擊可以實時響應（阻斷、告警、系統日誌、自定義告警文件、通知系統監控台），可以實現自動阻斷；
自動記錄攻擊事件，詳細地記錄日誌，超大容量的日誌資料庫，准確、安全的記載非法行為。
系統的接入非常簡單方便，不需改變現有網路拓撲結構，只需根據網路的物理結構將它連接到交換機的廣播口或共享式Hub上即可，網路通信毫無影響。
採用透明工作方式，監視內部網段數據流，不增加網路通訊、不影響網路傳輸效率。
系統可安裝支持多CPU，對於大型高速網路，可以選擇使用多處理器、高性能的伺服器。
支持多平台操作，目前版本的控制台和網路引擎不僅可以運行於Window 2000操作系統上，而且可以運行於Linux系統。
Linux系統版本支持分布式結構，可安裝於大型網路的各個物理子網中，監控大型網路。
中文圖形化管理，提供了一系列的中文圖形化管理，操作簡單，易於掌握。
3.黑盾網路入侵檢測系統（HDIDS）可識別的黑客攻擊手法
可能存在的後門漏洞
企圖進行後門連接的攻擊
分布式拒絕攻擊
Finger系列信息收集
其它漏洞數據包
NETBIOS漏洞攻擊
堆棧溢出攻擊
PING數據包攻擊
FTP漏洞攻擊
TELNET漏洞攻擊
RPC漏洞攻擊
攻擊掃描
SMTP網管蠕蟲
病毒侵襲
ICMP攻擊
Web CGI漏洞攻擊
Web ColdFusion漏洞攻擊
Web Frontpage漏洞攻擊
Web IIS漏洞攻擊
Web其它漏洞攻擊

問題2
二、黑客攻擊的目的和步驟

1． 黑窖攻擊的目的和3個階段
一般情況下，黑客的攻擊總有明確的目的性。由於黑客們成長的經歷和生活環境不同，其攻擊目標也會多種多樣，但大致上可以歸納總結如下。
（1）竊取信息
（2）控制中間站點
（3）獲得超級用戶許可權

2．黑客攻擊可以分為3個階段
(1)確定目標
黑客進行政擊，首先要確定攻擊目標。比如，某個具有特殊意義的站點、某個惡意的ISP、具有敵對觀點的宣傳站點或解僱了黑客的單位的主頁等。
(2)搜集與攻擊目標相關的信息，並找出系統的安全漏洞
(3)實施攻擊
黑客在搜集到相關信息之後，就可能對目標系統實施攻擊。

㈥ 網路安全題目：入侵檢測的目的是( )

入侵檢測的目的是（B、提供實時的檢測及採取相應的防護手段，阻止黑客的入侵）。

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。

從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。

入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

(6)關於計算機網路入侵檢測問答擴展閱讀：

構築異常檢測原理的入侵檢測系統，首先要建立系統或用戶的正常行為模式庫，不屬於該庫的行為被視為異常行為。但是，入侵性活動並不總是與異常活動相符合，而是存在下列4種可能性：入侵性非異常；非入侵性且異常；非入侵性非異常；入侵性且異常。

另外，設置異常的門檻值不當，往往會導致IDS許多誤報警或者漏檢的現象。IDS給安全管理員造成了系統安全假象，漏檢對於重要的安全系統來說是相當危險的。

㈦ 網路入侵問題題

根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。
系統通信協議
IDS系統內部各組件之間需要通信，不同廠商的IDS系統之間也需要通信。因此，有必要定義統一的協議。目前，IETF目前有一個專門的小組Intrusion Detection Working Group （IDWG）負責定義這種通信格式，稱作Intrusion Detection Exchange Format（IDEF），但還沒有統一的標准。
以下是設計通信協議時應考慮的問題：
1.系統與控制系統之間傳輸的信息是非常重要的信息，因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
2.通信的雙方均有可能因異常情況而導致通信中斷，IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基於標志（signature-based），另一種基於異常情況（anomaly-based）。
對於基於標識的檢測技術來說，首先要定義違背安全策略的事件的特徵，如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、並用統計的辦法得出），然後將系統運行時的數值與所定義的「正常」情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知的攻擊，它可以詳細、准確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。
[編輯本段]
IDS缺點
1998年2月，Secure Networks Inc.指出IDS有許多弱點，主要為：IDS對數據的檢測；對IDS自身攻擊的防護。由於當代網路發展迅速，網路傳輸速率大大加快，這造成了IDS工作的很大負擔，也意味著IDS對攻擊活動檢測的可靠性不高。而IDS在應對對自身的攻擊時，對其他傳輸的檢測也會被抑制。同時由於模式識別技術的不完善，IDS的高虛警率也是它的一大問題。

㈧ 什麼是入侵檢測，入侵檢測技術可以分為哪兩類

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。

入侵檢測方法很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。

入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。

入侵檢測系統目前存在的問題:
1. 現有的入侵檢測系統檢測速度遠小於網路傳輸速度, 導致誤報率和漏報率
2. 入侵檢測產品和其它網路安全產品結合問題, 即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3. 基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測, 並且其本身構建易受攻擊
4. 入侵檢測系統體系結構問題

發展趨勢:
1. 基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2. 入侵檢測標準的研究, 目前缺乏統一標准
3. 寬頻高速網路實時入侵檢測技術
4. 智能入侵檢測
5. 入侵檢測的測度

㈨ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(9)關於計算機網路入侵檢測問答擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。