入侵檢測(cè)技術(shù)火龍果

1、1第第6章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)2入侵檢測(cè)的定義入侵檢測(cè)的定義l美國(guó)NSTAC（國(guó)家安全通信委員會(huì)）的（國(guó)家安全通信委員會(huì)）的IDSG（Intrusion Detection Sub-Group) ： 入侵（入侵（ Intrusion ）：）：對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。 入侵檢測(cè)（入侵檢測(cè)（Intrusion Detection ）：）：對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生行狀態(tài)進(jìn)行監(jiān)視，對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程

2、。的入侵進(jìn)行識(shí)別的過程。概述概述3lICSA.net國(guó)家計(jì)算機(jī)安全協(xié)會(huì)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)(ICSA) : 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng): 該系統(tǒng)從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)該系統(tǒng)從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)中搜集信息，再?gòu)倪@些信息中分析入侵及誤用特中搜集信息，再?gòu)倪@些信息中分析入侵及誤用特征征。 入侵：入侵：由系統(tǒng)外部發(fā)起的攻擊由系統(tǒng)外部發(fā)起的攻擊 誤用：誤用：由系統(tǒng)內(nèi)部發(fā)起的攻擊由系統(tǒng)內(nèi)部發(fā)起的攻擊概述概述4入侵檢測(cè)系統(tǒng)的特點(diǎn)入侵檢測(cè)系統(tǒng)的特點(diǎn) 進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IDS， Intrusion Detection System ） 一

3、個(gè)完善的入侵檢測(cè)系統(tǒng)的特點(diǎn)：一個(gè)完善的入侵檢測(cè)系統(tǒng)的特點(diǎn)： 經(jīng)濟(jì)性、經(jīng)濟(jì)性、 時(shí)效性時(shí)效性 安全性安全性 可擴(kuò)展性可擴(kuò)展性概述概述5典型典型IDS技術(shù)技術(shù)實(shí)時(shí)入侵檢測(cè)漏洞掃描評(píng)估加固概述概述6IDS基本結(jié)構(gòu)基本結(jié)構(gòu) 入侵檢測(cè)入侵檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。簡(jiǎn)單地說，入侵檢測(cè)系安全策略事件的過程。簡(jiǎn)單地說，入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件：統(tǒng)包括三個(gè)功能部件：（1 1）信息收集）信息收集（2 2）信息分析）信息分析（3 3）結(jié)果處理）結(jié)果處理7n信息收集信息收集 入侵檢測(cè)的第一步是入侵檢測(cè)的第一步是信息收集信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)，收

4、集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，盡可能擴(kuò)大檢測(cè)范圍和不同主機(jī)）收集信息，盡可能擴(kuò)大檢測(cè)范圍入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性。入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)8l信息收集的來源信息收集的來源 進(jìn)行入侵檢測(cè)的系統(tǒng)叫做主機(jī)，被檢測(cè)的系統(tǒng)或網(wǎng)絡(luò)叫做目標(biāo)機(jī)。進(jìn)行入侵檢測(cè)的系統(tǒng)叫做主機(jī)，被檢測(cè)的系統(tǒng)或網(wǎng)絡(luò)叫做目標(biāo)機(jī)。數(shù)據(jù)來源可分為四類：數(shù)據(jù)來源可分為四類：來自主機(jī)的來自主機(jī)的 基于主

5、機(jī)的監(jiān)測(cè)收集通常在操作系統(tǒng)層的來自計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，基于主機(jī)的監(jiān)測(cè)收集通常在操作系統(tǒng)層的來自計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，包括操作系統(tǒng)審計(jì)跟蹤信息和系統(tǒng)日志包括操作系統(tǒng)審計(jì)跟蹤信息和系統(tǒng)日志 來自網(wǎng)絡(luò)的來自網(wǎng)絡(luò)的 檢測(cè)收集網(wǎng)絡(luò)的數(shù)據(jù)檢測(cè)收集網(wǎng)絡(luò)的數(shù)據(jù) 來自應(yīng)用程序的來自應(yīng)用程序的 監(jiān)測(cè)收集來自運(yùn)行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志監(jiān)測(cè)收集來自運(yùn)行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志和其它存儲(chǔ)在應(yīng)用程序內(nèi)部的數(shù)據(jù)和其它存儲(chǔ)在應(yīng)用程序內(nèi)部的數(shù)據(jù) 來自目標(biāo)機(jī)的來自目標(biāo)機(jī)的 使用散列函數(shù)來檢測(cè)對(duì)系統(tǒng)對(duì)象的修改。使用散列函數(shù)來檢測(cè)對(duì)系統(tǒng)對(duì)象的修改。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)9n信息分析信息分析 模式匹配（誤用

6、檢測(cè)）模式匹配（誤用檢測(cè)） 統(tǒng)計(jì)分析（異常檢測(cè)）統(tǒng)計(jì)分析（異常檢測(cè)） 完整性分析，往往用于事后分析完整性分析，往往用于事后分析IDS基本結(jié)構(gòu)基本結(jié)構(gòu)10模式匹配模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。為。 一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該過程可以指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該過程可以很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)

7、單的條目或指很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。安全狀態(tài)的變化）。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)11統(tǒng)計(jì)分析統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。 測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系

8、統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析完整性分析 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。裝木馬的應(yīng)用程序方面特別有效。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)12入侵檢測(cè)的分類（入侵檢測(cè)的分類（1） 按照數(shù)據(jù)來源：按照數(shù)據(jù)來源： 基于主機(jī)：基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是

9、系統(tǒng)運(yùn)行所在的主機(jī)。機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。 基于網(wǎng)絡(luò)：基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。護(hù)的是網(wǎng)絡(luò)的運(yùn)行。 混合型：混合型：IDS基本結(jié)構(gòu)基本結(jié)構(gòu)13 按照分析方法（檢測(cè)方法）按照分析方法（檢測(cè)方法） 異常檢測(cè)模型（異常檢測(cè)模型（Anomaly Detection ):Anomaly Detection ): 首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。 誤用檢測(cè)模型（誤用檢

10、測(cè)模型（Misuse Detection)Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。這種行為是入侵。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)14異常檢測(cè)模型異常檢測(cè)模型 如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱為誤報(bào)如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱為誤報(bào)(false positive) ；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱為漏；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱為漏報(bào)報(bào)(false negative

11、)。 特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率?？氐念l率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。耗更多的系統(tǒng)資源。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)15誤用檢測(cè)模型誤用檢測(cè)模型 如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會(huì)發(fā)生如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會(huì)發(fā)

12、生誤報(bào)；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)誤報(bào)；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)。會(huì)發(fā)生漏報(bào)。 特點(diǎn)：采用特征匹配，誤用檢測(cè)能明顯降低錯(cuò)報(bào)率，但特點(diǎn)：采用特征匹配，誤用檢測(cè)能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無能為力。無能為力。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)16 根據(jù)時(shí)效性：根據(jù)時(shí)效性： 脫機(jī)分析：脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。早期行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。早期比較流行比較流行 聯(lián)機(jī)分析：聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)

13、進(jìn)行分析。 按系統(tǒng)各模塊的運(yùn)行方式按系統(tǒng)各模塊的運(yùn)行方式 集中式：集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行。臺(tái)主機(jī)上運(yùn)行。 必須得有在系統(tǒng)組件之間保護(hù)消息的方法；必須得有一必須得有在系統(tǒng)組件之間保護(hù)消息的方法；必須得有一種在給定的時(shí)間內(nèi)判斷系統(tǒng)中的一個(gè)要素是否被篡改或是種在給定的時(shí)間內(nèi)判斷系統(tǒng)中的一個(gè)要素是否被篡改或是否已經(jīng)失效的方法。否已經(jīng)失效的方法。 分布式：分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上。系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)17u入侵檢測(cè)系統(tǒng)的通用模型入侵檢測(cè)系統(tǒng)的通用模型IDS基本

14、結(jié)構(gòu)基本結(jié)構(gòu)18基于主機(jī)的入侵檢測(cè)系統(tǒng)（基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS) 系統(tǒng)監(jiān)控和分析主機(jī)產(chǎn)生的數(shù)據(jù)（系統(tǒng)日志和審計(jì)記系統(tǒng)監(jiān)控和分析主機(jī)產(chǎn)生的數(shù)據(jù)（系統(tǒng)日志和審計(jì)記 錄）來發(fā)現(xiàn)攻擊后的誤操作。錄）來發(fā)現(xiàn)攻擊后的誤操作。 優(yōu)點(diǎn)是能針對(duì)不同操作系統(tǒng)捕獲應(yīng)用層入侵，誤報(bào)優(yōu)點(diǎn)是能針對(duì)不同操作系統(tǒng)捕獲應(yīng)用層入侵，誤報(bào) 少；缺點(diǎn)是依賴于主機(jī)及其審計(jì)系統(tǒng)，實(shí)時(shí)性差。少；缺點(diǎn)是依賴于主機(jī)及其審計(jì)系統(tǒng)，實(shí)時(shí)性差。基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)19基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理20基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)21基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入

15、侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS) NIDS的數(shù)據(jù)來源于網(wǎng)絡(luò)上的數(shù)據(jù)流的數(shù)據(jù)來源于網(wǎng)絡(luò)上的數(shù)據(jù)流 NIDS截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識(shí)庫(kù)截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識(shí)庫(kù) 中已知攻擊特征相比較，以進(jìn)行攻擊辨識(shí)。中已知攻擊特征相比較，以進(jìn)行攻擊辨識(shí)。 NIDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器 來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的是數(shù)據(jù)流。來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的是數(shù)據(jù)流。22u基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理23基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu): 基于網(wǎng)絡(luò)的入侵檢

16、測(cè)系統(tǒng)由遍及網(wǎng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的絡(luò)的傳感器傳感器(Sensor)組成，傳感器會(huì)組成，傳感器會(huì)向向中央控制臺(tái)中央控制臺(tái)報(bào)告。報(bào)告。 傳感器通常是獨(dú)立的檢測(cè)引擎，能傳感器通常是獨(dú)立的檢測(cè)引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。告警。2425一個(gè)網(wǎng)絡(luò)IDS: snort 常用的網(wǎng)絡(luò)入侵檢測(cè)分析工具 是一個(gè)基于簡(jiǎn)單模式匹配的IDS 源碼開放，跨平臺(tái)(C語(yǔ)言編寫，可移植性好) 利用libpcap作為捕獲數(shù)據(jù)包的工具 擴(kuò)展性好 標(biāo)準(zhǔn)的規(guī)則格式26snort有有三種工作模式三種工作模式：u 嗅探器嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不模式僅僅是從

17、網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不 斷的流顯示在終端上。斷的流顯示在終端上。u 數(shù)據(jù)包記錄器數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。模式把數(shù)據(jù)包記錄到硬盤上。u 網(wǎng)絡(luò)入侵檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，而且是可設(shè)置的。我模式是最復(fù)雜的，而且是可設(shè)置的。我 們能讓們能讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些 規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。27IDS- snort28天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)典型部署結(jié)構(gòu)圖天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)典型部署結(jié)構(gòu)圖 29入侵防御系統(tǒng)入侵防御系統(tǒng) IDS只

18、能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。 入侵防御系統(tǒng)（入侵防御系統(tǒng)（Intrusion Prevention System或或Intrusion Detection Prevention，即，即IPS或或IDP）就應(yīng)運(yùn)而生了。）就應(yīng)運(yùn)而生了。IPS是一種智能化的入侵檢測(cè)和是一種智能化的入侵檢測(cè)和防御產(chǎn)品防御產(chǎn)品，它不但能，它不

19、但能檢測(cè)入侵檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)實(shí)時(shí)地中止入侵行為地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。IPS使得使得IDS和防火墻走向統(tǒng)一。和防火墻走向統(tǒng)一。 IDS以以關(guān)聯(lián)方式關(guān)聯(lián)方式部署在不同的服務(wù)器和網(wǎng)段上，先將服務(wù)器或網(wǎng)段上的流部署在不同的服務(wù)器和網(wǎng)段上，先將服務(wù)器或網(wǎng)段上的流量鏡像到網(wǎng)絡(luò)傳感器上，再通過量鏡像到網(wǎng)絡(luò)傳感器上，再通過IDS管理控制臺(tái)進(jìn)行分析，如果發(fā)現(xiàn)入侵管理控制臺(tái)進(jìn)行分析，如果發(fā)現(xiàn)入侵或攻擊，則會(huì)產(chǎn)生報(bào)警，或攻擊，則會(huì)產(chǎn)生報(bào)警， IPS 以以串聯(lián)的方

20、式串聯(lián)的方式部署在網(wǎng)絡(luò)的進(jìn)出口處，像防部署在網(wǎng)絡(luò)的進(jìn)出口處，像防火墻一樣，它對(duì)進(jìn)出網(wǎng)絡(luò)的所有流量進(jìn)行分析，當(dāng)檢測(cè)到有入侵或攻擊企火墻一樣，它對(duì)進(jìn)出網(wǎng)絡(luò)的所有流量進(jìn)行分析，當(dāng)檢測(cè)到有入侵或攻擊企圖后，會(huì)自動(dòng)將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷圖后，會(huì)自動(dòng)將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷。 30 IDS在網(wǎng)絡(luò)中的部署方式在網(wǎng)絡(luò)中的部署方式 IPS在網(wǎng)絡(luò)中的部署方式在網(wǎng)絡(luò)中的部署方式31基于主機(jī)的入侵防御基于主機(jī)的入侵防御 基于主機(jī)的入侵防御（基于主機(jī)的入侵防御（HIPS）通過在服務(wù)器等主機(jī)上安裝代理程序來防止）通過在服務(wù)器等主機(jī)上安裝代理程序來防止對(duì)主機(jī)的入侵和攻擊，保護(hù)服務(wù)器免受外部入侵或攻擊。對(duì)主機(jī)的入侵和攻擊，保護(hù)服務(wù)器免受外部入侵或攻擊。HIPS可以根據(jù)自定可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器等主機(jī)發(fā)起的惡意入侵，義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器等主機(jī)發(fā)起的惡意入侵，HIPS可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖獲可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖獲得操作系統(tǒng)入侵權(quán)的行為，加強(qiáng)了系統(tǒng)整體的