第5章防火墻與入侵檢測技術(shù)

1《計算機網(wǎng)絡(luò)安全》

課程講義清華大學(xué)出版社2第五章防火墻與入侵檢測技術(shù)

3本章內(nèi)容防火墻的基本概念和種類防火墻的體系結(jié)構(gòu)及功能入侵檢測技術(shù)的種類及各類技術(shù)的相關(guān)性能

4學(xué)習(xí)目標(biāo)掌握防火墻的基本概念和種類掌握防火墻的體系結(jié)構(gòu)及功能

掌握入侵檢測技術(shù)的種類

了解各類入侵檢測技術(shù)的性能55.1防火墻技術(shù)

防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。

防火墻實質(zhì)上是一種隔離控制技術(shù)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境下構(gòu)造一種相對安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。從邏輯上講它既是分析器又是限制器，它要求所有進出網(wǎng)絡(luò)的數(shù)據(jù)流都必須遵循安全策略，同時將內(nèi)外網(wǎng)絡(luò)在邏輯上分離。65.1防火墻技術(shù)

防火墻的種類

（1）包過濾防火墻包過濾型防火墻會檢查所有通過的信息包中的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進行過濾，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。優(yōu)點：對用戶來說是透明的，處理速度快而且易于維護，實現(xiàn)成本較低，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。缺點：完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，無法識別基于應(yīng)用層的惡意入侵，如惡意的Java小程序以及電子郵件中附帶的病毒等。有經(jīng)驗的黑客也很容易偽造IP地址，騙過包過濾型防火墻。

75.1防火墻技術(shù)

防火墻的種類

（2）應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用級網(wǎng)關(guān)是通常我們提到的代理服務(wù)器。代理服務(wù)器像一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何的內(nèi)部資源，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。優(yōu)點：應(yīng)用級網(wǎng)關(guān)比單包過濾更為可靠，而且會詳細(xì)地記錄所有的訪問狀態(tài)信息。缺點：對系統(tǒng)的整體性能有較大的影響，使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對客戶機可能產(chǎn)生的每一個特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，從而大大增加了系統(tǒng)的復(fù)雜度。用戶不能使用未被服務(wù)器支持的服務(wù)。85.1防火墻技術(shù)

防火墻的種類

（3）狀態(tài)監(jiān)測防火墻監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上有效地判斷出各層中的非法侵人。優(yōu)點：當(dāng)用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報警或給該通信加密等處理動作。一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關(guān)狀態(tài)作日志記錄。另一個優(yōu)點是它會檢測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）和用戶數(shù)據(jù)報（UDP）之類的端口信息。缺點：它會降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。95.1防火墻技術(shù)

防火墻的體系結(jié)構(gòu)

（1）屏蔽路由器屏蔽路由器是一個具有數(shù)據(jù)包過濾功能的路由器，既可以是一個硬件設(shè)備，也可以是一臺主機。路由器上安裝有IP層的包過濾軟件，可以進行簡單的數(shù)據(jù)包過濾。其使用范圍很廣，但其缺點也非常明顯，一旦屏蔽路由器的包過濾功能失效，則受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)就可以進行任何數(shù)據(jù)通信了。105.1防火墻技術(shù)

防火墻的體系結(jié)構(gòu)

（2）雙宿主機網(wǎng)關(guān)如果一臺主機裝有兩塊網(wǎng)卡，一塊連接受保護網(wǎng)絡(luò)，一塊連接外部網(wǎng)絡(luò)，那么這臺堡壘主機就是雙宿主機網(wǎng)關(guān)。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包，然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。雙宿主機網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。其致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。115.1防火墻技術(shù)

防火墻的體系結(jié)構(gòu)

（3）被屏蔽主機網(wǎng)關(guān)堡壘主機在受保護網(wǎng)絡(luò)中，可以與受保護網(wǎng)絡(luò)的主機進行通信，也可以和外部網(wǎng)的主機建立連接。屏蔽路由器的作用是允許堡壘主機和外部網(wǎng)絡(luò)之間的通信，同時所有受保護網(wǎng)絡(luò)的其它主機和外部網(wǎng)絡(luò)直接通信。壘主機成為從外部網(wǎng)絡(luò)唯一可到達的主機，此時它就起到了網(wǎng)關(guān)的作用。

125.1防火墻技術(shù)

防火墻的體系結(jié)構(gòu)

（4）被屏蔽子網(wǎng)由兩臺屏蔽路由器將受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，中間形成一個隔離帶（DMZ），就構(gòu)成了被屏蔽子網(wǎng)結(jié)構(gòu)。135.1防火墻技術(shù)

防火墻的功能

（1）包過濾（2）審計和報警（3）代理:分為透明代理和傳統(tǒng)代理（4）NAT：分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換（5）VPN：虛擬專用網(wǎng)（6）流量統(tǒng)計和控制145.1防火墻技術(shù)

分布式防火墻（DWF）的概念

傳統(tǒng)防火墻缺陷的根源在于它的拓?fù)浣Y(jié)構(gòu)，分布式防火墻打破了這種拓?fù)湎拗疲瑢?nèi)部網(wǎng)的概念由物理意義變成邏輯意義。 分布式防火墻是由一個中心來制定策略，并將策略分發(fā)到主機上執(zhí)行，它使用一種策略語言（如Keynote）來制定策略，并被編譯成內(nèi)部形式存于策略數(shù)據(jù)庫中，系統(tǒng)管理軟件將策略分發(fā)到被保護主機，而主機根據(jù)這些安全策略和加密的證書來決定是接受還是丟棄包，從而對主機實施保護。155.1防火墻技術(shù)

分布式防火墻的本質(zhì)特征

（1）安全策略必須由管理員統(tǒng)一制定。是分布式防火墻區(qū)別于個人防火墻的根本所在

（2）策略必須被推到網(wǎng)絡(luò)的邊緣即主機上實施。 （3）日志統(tǒng)一收集管理。 本質(zhì)特征可概括為“策略集中制定分散實施，日志分散產(chǎn)生集中保存”，從管理員的角度來看，他管理分布式防火墻就像管理邊界防火墻一樣，由他負(fù)責(zé)制定全網(wǎng)的安全策略并對全網(wǎng)的安全狀況進行監(jiān)控，只不過策略的實施不在單一節(jié)點上而是分散到了多個節(jié)點而已分布式防火墻的實現(xiàn)方法。165.1防火墻技術(shù)

分布式防火墻的實現(xiàn)方法

1、基于OpenBSDUNIX的實現(xiàn)該原型系統(tǒng)由三部分組成：內(nèi)核擴展程序，用于實施安全機制；用戶層后臺處理程序，用于執(zhí)行分布式防火墻策略；設(shè)備驅(qū)動程序，為內(nèi)核和策略后臺程序之間的雙向通信提供接口。

175.1防火墻技術(shù)

分布式防火墻的實現(xiàn)方法

2、基于IPsec的分布式防火墻模型Steven的模型使用和IPSec一起使用的加密證書名稱表示網(wǎng)絡(luò)主機，完全摒棄了以往使用IP地址表示主機的方法。該模型共由三個部分組成：系統(tǒng)管理模塊、翻譯器和個主機策略執(zhí)行模塊。網(wǎng)絡(luò)安全管理員使用系統(tǒng)管理模塊來管理所有的主機，定義安全策略，還可以向主機分發(fā)新的防火墻軟件或安裝補丁。185.1防火墻技術(shù)

分布式防火墻的實現(xiàn)方法

3、基于網(wǎng)卡（NIC）的實現(xiàn)該方案是美國國防部資助的研究項目，它是基于硬件—種特殊的網(wǎng)卡（3Com3CR990系列網(wǎng)卡）實現(xiàn)的，稱為EFW（EmbeddedFirewall）。這種網(wǎng)卡有內(nèi)置的處理器和存儲器，它能獨立于主機操作系統(tǒng)而運行。

（1）EFW組件EFW的主要組件分為主機端組件和服務(wù)器端組件。195.1防火墻技術(shù)

分布式防火墻的實現(xiàn)方法

4、基于Windows平臺實現(xiàn)的原型系統(tǒng)該防火墻產(chǎn)品包括中心管理部件、桌面機防火墻部件和服務(wù)器，邊界防火墻部件等。包過濾引擎采用嵌人內(nèi)核的方式運行，處于鏈路層和網(wǎng)絡(luò)層之間，能夠提供訪問控制、狀態(tài)檢測和人侵檢測的功能。用戶配置接口在安裝時是可選的，如果選擇安裝，則用戶或管理員可在本地配置安全策略。該產(chǎn)品實現(xiàn)了中心管理功能，管理員通過中心管理模塊可對各臺主機實施全方位的控制。也具有較完善的審計功能，審計日志可通過建立的連接、阻塞的數(shù)據(jù)包、人侵嘗試和應(yīng)用類型等來建立。中心管理模塊可對日志和報警信號進行匯集。205.1防火墻技術(shù)

分布式防火墻的典型應(yīng)用 （1）鎖定關(guān)鍵服務(wù)器 對企業(yè)中的關(guān)鍵服務(wù)器，可以安裝分布式防火墻作為第二道防線，使用分布式防火墻的集中管理模塊，對這些服務(wù)器制定精細(xì)的訪問控制規(guī)則，增強這些服務(wù)器的安全性。 （2）商務(wù)伙伴之間共享服務(wù)器 隨著電子商務(wù)的發(fā)展，商務(wù)伙伴之間需要共享信息，外聯(lián)網(wǎng)是一般的解決方案，但實施代價較高，可是用上面介紹的EFW在一臺服務(wù)器上安裝兩個NIC，一個與內(nèi)部網(wǎng)相連，另一個與伙伴相連，這樣可以方便的實現(xiàn)服務(wù)器共享。215.2入侵檢測技術(shù)

入侵和入侵檢測

入侵（Intrusion）是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計算機和網(wǎng)絡(luò)的行為。入侵行為主要有以下幾種：（1）外部滲透：指既未被授權(quán)使用計算機，又未被授權(quán)使用數(shù)據(jù)或程序資源的滲透。（2）內(nèi)部滲透：指雖被授權(quán)使用計算機，但是未被授權(quán)使用數(shù)據(jù)或程序資源的滲透。（3）不法使用：指利用授權(quán)使用計算機、數(shù)據(jù)和程序資源的合法用戶身份的滲透。225.2入侵檢測技術(shù)

入侵和入侵檢測

入侵檢測（IntrusionDetection）是一種試圖通過觀察行為、安全日志或?qū)徲嬞Y料來檢測發(fā)現(xiàn)針對計算機或網(wǎng)絡(luò)入侵的技術(shù)，該檢測通過手工或?qū)＜蚁到y(tǒng)軟件對日志或其它網(wǎng)絡(luò)信息進行分析完成。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和對入侵做出響應(yīng)。強大的入侵檢測軟件的出現(xiàn)極大的方便了網(wǎng)絡(luò)的管理，其實時報警功能為網(wǎng)絡(luò)安全增加了又一道保障。未來的入侵檢測系統(tǒng)將會結(jié)合其它網(wǎng)絡(luò)管理軟件，形成入侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的結(jié)構(gòu)。235.2入侵檢測技術(shù)

入侵檢測的分類

1、特征檢測特征檢測又稱基于知識的入侵檢測，這類檢測方法的原則是：任何與已知入侵模型符合的行為都是入侵行為。它要求首先對已知的各種入侵行為建立簽名，然后將當(dāng)前的用戶行為和系統(tǒng)狀態(tài)與數(shù)據(jù)庫中的簽名進行匹配，來識別系統(tǒng)中的入侵行為。

這種入侵檢測技術(shù)主要有以下局限性：（1）檢測系統(tǒng)知識庫中的入侵攻擊知識與系統(tǒng)運行環(huán)境有關(guān)。（2）對于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為，由于他們沒有利用系統(tǒng)的缺陷，因而很難檢測出來。245.2入侵檢測技術(shù)

特征檢測

（1）專家系統(tǒng)專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。將有關(guān)入侵的知識轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分，當(dāng)其中某個或部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為以及其語義環(huán)境可以根據(jù)審計事件得到，推理機根據(jù)規(guī)則和行為完成判斷工作。255.2入侵檢測技術(shù)

特征檢測

（2）狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換分析即將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為的分析。狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列網(wǎng)絡(luò)入侵檢測技術(shù)的研究導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，和導(dǎo)致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。

265.2入侵檢測技術(shù)

特征檢測

（2）狀態(tài)轉(zhuǎn)換分析

Petri網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達狀態(tài)。下面是這種方法的一個簡單示例，表示在一分鐘內(nèi)如果登錄失敗的次數(shù)超過4次，系統(tǒng)便發(fā)出警報。其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài)S1發(fā)生登錄失敗，則產(chǎn)生一個標(biāo)志變量，并存儲事件發(fā)生時間T1，同時轉(zhuǎn)入狀態(tài)S2。如果在狀態(tài)S4時又有登錄失敗，而且這時的時間T2-T1<60秒，則系統(tǒng)轉(zhuǎn)入狀態(tài)S5，即為入侵狀態(tài)，系統(tǒng)發(fā)出警報并作相應(yīng)措施。275.2入侵檢測技術(shù)

異常入侵檢測異常檢測又稱為基于行為的入侵檢測，根據(jù)使用者的行為或資源使網(wǎng)絡(luò)入侵檢測技術(shù)的研究使用狀況來判斷是否入侵，而不依賴于是否出現(xiàn)具體行為來檢測，任何與已知正常行為不符合的行為都是入侵行為。這類檢測方法的基本思想是：通過對系統(tǒng)審計資料的分析建立起系統(tǒng)主體的正常行為的特征輪廓，檢測時，如果系統(tǒng)中的審計資料與已建立的主體正常行為特征有較大出入，就認(rèn)為系統(tǒng)遭到入侵。

異常入侵檢測的最大優(yōu)點是能檢測出一些未知攻擊，最大缺點是會產(chǎn)生很大的虛警率，因為異常并不一定是入侵，而且結(jié)果缺乏可解釋性。285.2入侵檢測技術(shù)

異常入侵檢測（1）概率統(tǒng)計方法該方法是基于異常檢測中應(yīng)用最早也是最多的。檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當(dāng)前特征與已存儲的固定模式的以前特征，從而判斷是否是異常行為。用于描述特征的變量類型有：①操作密度：度量操作執(zhí)行的速率，常用于檢測通過長時間平均覺察不到的異常行為。②審計記錄分布：度量在最新記錄中所有操作類型的分布。③范疇尺寸：度量在一定動作范疇內(nèi)特定操作的分布情況。④數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量。295.2入侵檢測技術(shù)

異常入侵檢測在SRI/CSL的入侵檢測系統(tǒng)中給出了一個特征簡表的結(jié)構(gòu)：

<變量名，行為描述，例外情況，資源使用，時間周期，變量類型，門限值，主體，客體，值>其中的變量名、主體、客體唯一確定了每一個特征簡表，特征值由系統(tǒng)根據(jù)審計資料周期性地產(chǎn)生。這個特征值是所有有悖于用戶特征的異常程度值的函數(shù)。如果假設(shè)S1，

S2，…，Sn分別是用于描述特征的變量M1，M2，…，Mn的異常程度值，Si值越大說明異常程度越大。則這個特征值可以用所有Si值的加權(quán)平方和來表示：，ai>0，其中ai表示每一個特征的權(quán)值。如果選用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則標(biāo)準(zhǔn)偏差：M/(n-1)-μ/2，其中μ=M/n，如果某S值超過了就認(rèn)為出現(xiàn)了異常。305.2入侵檢測技術(shù)

異常入侵檢測（2）神經(jīng)網(wǎng)絡(luò)方法基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達了變量間的非線性關(guān)系，并且能自動學(xué)習(xí)并更新。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表網(wǎng)絡(luò)入侵檢測技術(shù)的研究性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。

315.2入侵檢測技術(shù)

入侵檢測系統(tǒng)及其分類

入侵檢測系統(tǒng)（IntrusionDetectionSystems，IDS）在邏輯上必須包含最基本的三個部分：數(shù)據(jù)提取模塊、數(shù)據(jù)分析模塊和結(jié)果處理模塊。數(shù)據(jù)提取模塊:為系統(tǒng)提取數(shù)據(jù)。數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)包、計算機的日志文件和系統(tǒng)調(diào)用記錄等。

數(shù)據(jù)分析模塊:對數(shù)據(jù)進行深入分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞到結(jié)果處理模塊。

結(jié)果處理模塊:作用在于告警與反應(yīng)，這實際上與PPDR模型的R有所重疊。

325.2入侵檢測技術(shù)

入侵檢測系統(tǒng)原理入侵檢測系統(tǒng)的原理比較簡單：當(dāng)感應(yīng)器感知到數(shù)據(jù)后，由系統(tǒng)管理員所提供的安全策略對該感應(yīng)事件進行分析審計數(shù)據(jù)，一旦分析結(jié)果認(rèn)定為入侵則發(fā)出警報信息，啟動管理器通知操作人員并啟動相應(yīng)的應(yīng)急措施：如關(guān)閉相應(yīng)連接、切斷網(wǎng)絡(luò)，以便幫助管理員采取進一步的應(yīng)急措施。335.2入侵檢測技術(shù)

基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)

（1）基于主機的入侵檢測系統(tǒng)（HIDS）基于主機的入侵檢測系統(tǒng)主要從主機的審計記錄和日志文件中獲得所需的數(shù)據(jù)，并輔以主機上的其它信息，例如文件系統(tǒng)屬性，進程管理狀態(tài)等，在此基礎(chǔ)上完成檢測入侵行為的任務(wù)。優(yōu)點包括：

1）能夠監(jiān)視特定的系統(tǒng)行為，基于主機的IDS能夠監(jiān)視所有的用戶登錄和退出、甚至用戶所做的所有操作等。2）系統(tǒng)的復(fù)雜性也小很多。3）能檢測某些在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或者根本沒有通過網(wǎng)絡(luò)而是在本地進行的攻擊。4）適用被加密的和交換的環(huán)境。345.2入侵檢測技術(shù)

基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)（1）基于主機的入侵檢測系統(tǒng)（HIDS）其主要缺點有：1）HIDS安裝在我們需要保護的設(shè)備上，這會降低應(yīng)用系統(tǒng)的效率，它依賴于服務(wù)器固有的日志與監(jiān)視能力。2）全面布置HIDS代價較大，企業(yè)中很難將所有主機采用基于主機的入侵檢測系統(tǒng)保護，只能選擇部分主機保護。3）HIDS除了監(jiān)測自身的主機外，根本不檢測網(wǎng)絡(luò)上的情況。而且對入侵行為的分析的工作量會隨著主機數(shù)目的增加而增加。355.2入侵檢測技術(shù)

基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）它使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為入侵檢測的數(shù)據(jù)來源，通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析網(wǎng)絡(luò)中所有通信數(shù)據(jù)。NIDS通常使用四種常用檢測技術(shù)來識別入侵：模式、表達式或字節(jié)匹配；頻率或閾值判斷；低級事件的相關(guān)性；統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測。主要優(yōu)點有：1）成本較低。2）能夠檢測到HIDS無法檢測的入侵。3）NIDS不依賴于保護主機的操作系統(tǒng)，而且隱蔽性好。365.2入侵檢測技術(shù)

基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）其主要缺點有：1）只能檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)段包。2）網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的資料包會產(chǎn)生大量的分析數(shù)據(jù)流量。3）網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會話過程較困難，目前通過加密信道的攻擊尚不多，隨著IPv6的普及，這個問題會越來越突出。375.2入侵檢測技術(shù)

誤用和異常入侵檢測系統(tǒng)

（1）誤用入侵檢測系統(tǒng)（MisuseIntrusionDetectionSystem）誤用入侵檢測系統(tǒng)根據(jù)已知入侵類型（知識、模式等）來檢測目標(biāo)網(wǎng)絡(luò)系統(tǒng)中的入侵，它是指運用己知攻擊方法，根據(jù)已定義好的入侵模式，通過分析數(shù)據(jù)判斷這些入侵模式是否出現(xiàn)來進行檢測。首先收集入侵行為的特征，建立相關(guān)的誤用模式庫。在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與庫中的特征代碼進行比較，得出是否入侵的結(jié)論。

不足在于只能檢測已知的攻擊模式，當(dāng)新漏洞或新入侵方式出現(xiàn)時，需要由人工或其他機器學(xué)習(xí)系統(tǒng)得出新入侵行為的特征模式，添加到誤用模式庫中，才使系統(tǒng)具備檢測能力。385.2入侵檢測技術(shù)

誤用和異常入侵檢測系統(tǒng)

（2）異常入侵檢測系統(tǒng)（AnomalyIntrusionDetectionSystem）檢測系統(tǒng)將被監(jiān)控系統(tǒng)正常行為的信息作為檢測目標(biāo)系統(tǒng)中是否有入侵的異?；顒拥囊罁?jù)，它根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵。優(yōu)點是它能抽象系統(tǒng)的正常行為以此檢測系統(tǒng)異常行為。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制。主要不足則是誤報率很高，此外，若入侵者了解到檢測方法，就可以通過慢慢訓(xùn)練檢測系統(tǒng)，避免系統(tǒng)指標(biāo)突變，到最后連異常行為也可能認(rèn)為是正常的方法來進行欺騙以達到入侵目的。395.2入侵檢測技術(shù)

集中式和分布式入侵檢測系統(tǒng)（1）集中式入侵檢測系統(tǒng)（CIDS）CIDS的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。CIDS也可能有多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務(wù)器，審計程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進行分析處理。CIDS在系統(tǒng)的可伸縮性、可配置性方面存在致命缺陷。隨著網(wǎng)絡(luò)規(guī)模的增大，主機審計程序和服務(wù)器之間傳送