入侵检测 VPN 防火墙 实验报告

入侵检测课程设计报告班级：学号：姓名：2012年6月前言随着网络的逐步普及，企业内部网络的建设是企业向信息化发展的必然选择，企业的网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本设计课题将主要以企业内部网络规划建设来进行。本公司有五个部门：财务部（10台）、营销部（20台）、人事部（20台）、生产部（20台）、技术部（10台），共有80台计算机，我们可以选择5台24个端口10/100M普通交换机作为接入层；把接入层的交换机之间接入到核心层交换机上。核心层交换机我们选择性能比较优越的，交换机带宽需要达到1000M。企业内网设计1）接入Internet设计：专线接入，在企业级用户中，主要采用的是专线接入方式，常用的专线接入使DDN方式。速度范围64Kbps至2Mbps。采用DDN，网络设备需要路由器，NTU、基带调制解调器或HDSL。ADSL宽带接入，作为备用的入网设备。接入Internet我们需要申请一个公网ip地址/30，采用通过光纤方式接入，并且为web服务器申请一个域名。内网使用私有地址192.168.X.0/24。主干网采用以光纤为介质的1000M的以太网；考虑到外网对DMZ区web服务器的访问效率我们尽可能增大带宽。所以与核心层交换机的接入也使用1000M光纤连接，各部门PC机与接入层交换机之间采用10/100M光纤对Internet资源的访问，最终都是通过资源所具有的惟一的公有IP地址实现的。对于一个内部网络，每一台工作站和应用服务器的IP地址均为内部专有的地址，以这样的IP地址是不能访问Internet资源的。因此，要实现一个内部网络对Internet的访问，必须在内部网络和Internet之间设置一个具有网络地址转换功能（NAT）的设备，对于从内部网络向外发出的IP数据包，NAT设备可以将数据包中所包含的源IP地址和源TCP/IP端口号等信息转换为可以在Internet上使用的公有IP地址和可能改变的TCP/UDP端口号；而当Internet主机响应的数据包流入内部网络时，NAT将数据包中包含的目的IP地址和目的TCP/UDP号等信息转换为专有IP地址和最初的TCP/UDP端口号，从而对外部屏蔽了内部网络的IP地址。2）拓扑结构3）通信子网的构建由于我们内网采用私有地址（192.168.X.0/24），公司内部不同部门在不同的VLAN，所以我们必须要进行子网的划分。公司部门VLAN划分IP网段财务部(10台)VLAN2/24营销部（20台）VLAN3/24人事部（20台）VLAN4/24生产部（20台）VLAN5/24技术部（10台）VLAN6/24其中财务部不允许使用Internet，业务部只允许使用WWW服务和FTP服务，其余访问不受限制。公司目前从ISP申请了两个可用公网IP地址。根据以上要求，现做需求分析如下：在接入层采用二层交换机，并作一定措施分隔广播风暴；核心交换机采用高性能的三.层交换机，接入层交换机分别通过2条上行链路连接到核心交换机，由三层交换机实现VLAN之间的路由。（或者两台接入层交换机与核心交换机冗余备份，使用生成树协议去除环路）；三层交换机配置路由接口，与RA（局域网路由器）、RB（模拟互联网路由器）之间实现全网互通；在RA上用少量公网IP地址实现企业内网到互联网的访问；在RA上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，其余访问不受控制。由于网络工作站数量较少且接入比较集中，因此核心网络设备选择100M的以太交换机就可以了。所有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构，每一台计算机可以独占100M的带宽。当中心交换设备需要由多个交换机构成时，建议交换机选择可以堆叠的交换机，可堆叠的交换机之间进行交换时利用带宽很高的内部总线，可以保证每台接入的计算机都具有100M的带宽。当工作站到中心交换设备的距离超过100m时，可以在工作站和中心交换机之间设置一台交换机，以级联的方式与中心交换机连接，工作站接入到级联的交换机中，不过这些工作站只能共享100M的传输带宽。划分了VLAN后，各VLAN之间的通信需要第三层设备的支持。实现的方法是在网络中设置路由器或三层交换机。三层交换机集成了第二层的数据交换技术和第三层的数据转发技术，特别是它对于数据包的转发是通过硬件来完成的，处理效率非常高，完全可以匹配局域网高速的传输速度。因此，在构建采用VLAN技术的网络时，最优的选择是以三层交换机作为网络核心。4)内网安全设计在对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，其余访问不受控制。访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用：网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。企业防火墙配置1）防火墙技术传统意义的防火墙：用于控制实际的火灾，使火灾被限制在建筑物的某部分，不会蔓延到其他区域网络安全中的防火墙：用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统，作为一个安全网络的边界点，在不同的网络区域之间进行流量的访问控制防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。2）防火墙的关键技术 1.包过滤技术包过滤技术的工作对象是数据包。对TCP/IP协议族来说，包过滤技术主要对其数据包包头的各个字段进行操作。安全过滤规则是包过滤技术的核心，是组织或机构的整体安全策略中网络安全策略部分的直接体现。包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包，即防火墙模块应该被设置在操作系统协议栈网络层之下，数据链路层之上的位置上。包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断，直至找到一条相符的规则为止。如果没有相符的规则，则执行默认的规则。具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。 包过滤技术的优点：包过滤技术实现简单、快速。经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可。包过滤技术的实现对用户是透明的。用户无需改变自己的网络访问行为模式，也不需要在主机上安装任何的客户端软件，更不用进行任何的培训。包过滤技术的检查规则相对简单，因此检查操作耗时极短，执行效率非常高，不会给用户网络的性能带来不利的影响。 包过滤技术的不足包过滤技术过滤思想简单，对信息的处理能力有限。只能访问包头中的部分信息，不能理解通信的上下文，因此不能提供更安全的网络防护能力当过滤规则增多的时候，对于过滤规则的维护是一个非常困难的问题。不但要考虑过滤规则是否能够完成安全过滤任务，还要考虑规则之间的关系防止冲突的发生。尤其是后一个问题是非常难于解决的。包过滤技术控制层次较低，不能实现用户级控制。特别是不能实现对用户合法身份的认证以及对冒用的IP地址的确定。2.状态检测技术 状态检测技术根据连接的“状态”进行检查。当一个连接的初始数据报文到达执行状态检测的防火墙时，首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合，则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则，然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行，包括从内向外的和从外向内的双向数据流。在通信结束、释放该连接以后，防火墙将自动地删除关于该连接的过滤规则。动态过滤规则存储在连接状态表中并由防火墙维护。为了更好地为用户提供网络服务以及更精确地执行安全过滤，状态检测技术往往需要察看网络层和应用层的信息，但主要还是在传输层上工作。从传统包过滤发展而来，除了包过滤检测的特性外，对网络连接设置状态特性加以检测。状态检测防火墙对通过其的数据会话在内部建立一个状态连接表，其回应的数据会首先通过状态连接表的检测，而不是通过安全过滤规则 状态检测分类：TCP状态检测、UDP状态检测、ＩＣＭＰ状态检测状态检测技术的优点安全性比静态包过滤技术高。状态检测机制可以区分连接的发起方与接收方；可以通过状态分析阻断更多的复杂攻击行为；可以通过分析打开相应的端口而不是“一刀切”，要么全打开要么全不打开。与静态包过滤技术相比，提升了防火墙的性能。状态检测机制对连接的初始报文进行详细检查，而对后续报文不需要进行相同的动作，只需快速通过即可。状态检测技术的不足主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。检查内容多，对防火墙的性能提出了更高的要求。3．代理技术代理的执行一种情况是代理服务器监听来自内部网络的服务请求。当请求到达代理服务器时按照安全策略对数据包中的首部和数据部分信息进行检查。通过检查后，代理服务器将请求的源地址改成自己的地址再转发到外部网络的目标主机上。外部主机收到的请求将显示为来自代理服务器而不是源内部主机。代理服务器在收到外部主机的应答时，首先要按照安全策略检查包的首部和数据部分的内容是否符合安全要求。通过检查后，代理服务器将数据包的目的地址改为内部源主机的IP地址，然后将应答数据转发至该内部源主机。另外一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发来的信息。这个时候外部主机只能将信息发送至代理服务器，由代理服务器转发至内部网络，相当于代理服务器对外部网络执行代理操作。具体来说，所有发往内部网络的数据包都要经过代理服务器的安全检查，通过后将源IP地址改为代理服务器的IP地址，然后这些数据包才能被代理服务器转发至内部网络中的目标主机。代理服务器负责监控整个的通信过程以保证通信过程的安全性。代理服务器的实现与部署代理服务器通常安装在堡垒主机或者双宿主网关上。如果将代理服务器程序安装在堡垒主机上，则可能采取不同的部署与实现结构。比如说采用屏蔽主机或者屏蔽子网方案，将堡垒主机置于过滤路由器之后。这样堡垒主机还可以获得过滤路由器提供的、额外的保护。缺点则是如果过滤路由器被攻陷，则数据将旁路安装代理服务器程序的堡垒主机，即代理服务器将不起作用。代理技术的缺陷代理服务程序很多都是专用的，不能够很好地适应网络服务和协议的不断发展。在访问数据流量较大的情况下，代理技术会增加访问的延迟，影响系统的性能。应用层网关需要用户改变自己的行为模式，不能够实现用户的透明访问。应用层代理还不能够完全支持所有的协议。代理系统对操作系统有明显的依赖性，必须基于某个特定的系统及其协议。相对于包过滤技术来说，代理技术执行的速度是较慢的。3）防火墙的作用和意义1.通过防火墙的规则设置隔离了数据库安全域与其它安全域，实现了保护关键业务的应用、控制对服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。到数据库安全域的全部通信都受到防火墙的监控，通过防护墙的策略可以设置成相应的保护级别，以保证系统的安全｡2.过滤网络中不必要传输的无用数据｡防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加规则策略保障，如果在防火墙上添加一些有关重要应用的策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据，比如封闭目前常见的蠕虫病毒使用的端口｡3.防火墙具有流量控制的特性，可以依据应用来限制流量，来调整链路的带宽利用，如：在网络中，有数据库调用应用、域登陆应用等等，可以在防火墙中直接加载控制策略，使数据库调用应用、域登陆应用按照预定的带宽进行数据交换｡实现流量控制，调整链路带宽利用的功能｡4.在防火墙上还可以防止恶意的内部员工通过网络对数据库安全域的服务器TCP/UDP端口进行非法扫描，消除系统安全的隐患｡可防止恶意的内部员工通过网络对数据库安全域的服务器进行源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击｡5.对于防火墙自身来说，日志的导出、日志服务器的安装，可使得通过防火墙的数据访问加以统计，为优化网络提供必要的数据，日志服务器可以完成，每个不同的源访问的流量统计，可以了解到每个源的流量是否在正常范围内，等等｡这样的数据对于网络安全是十分重要的｡6.防火墙提供应用级透明代理，可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制，如HTTP命令(GET，POST，HEAD)及URL，FTP命令(GEI，PUT)及文件控制，也就是说，在的网络中当通过防火墙对数据库安全域进行访问时，可在应用层上做更详细的访问控制｡4）防火墙的部署方案根据需要划分了几个网络安全域，在不同的安全域之间分别放置了防火墙设备，设备的部署情况描述如下：1、根据内网业务数据的实际情况，我们在核心交换机和数据库服务器之间作为安全区域一来部署一台防火墙，以保障所有对安全域一中的数据库进行调用时长连接的正常转发，不会因为防火墙的原因造成数据调用的失败，从而影响正常的业务应用｡这种边界位置通常放置应用网关防火墙，这类防火墙是通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。2、由于网络视频、视频会议、网络电话等应用对防火墙的要求很高，不断要求防火墙能够对H.323、MMS、RTSP、NETMeeting、SIP等协议有很好的支持，并且对防火墙的转发率、对数据的延迟、丢包率以及对突发数据的处理能力都有严格的要求，因此在核心骨干区单独部署了一台防火墙，以满足业务对防火墙的这种高要求的需要｡可以考虑使用高速度的自适应代理型防火墙。它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网，可以一定程度的防止视网络视频、视频会议、网络电话的内容被窃听、截获。3、应用服务器，包括WEB服务器、邮件服务器、DNS服务器等，这些服务器对网络的稳定性、转发速率和安全性有非常高的要求，一旦这些服务器出现问题整个办公系统将会瘫痪，严重影响办公效率，因此部署一台防火墙，并且在邮件服务器的前端部署防病毒过滤网关，以满足基本的访问控制的要求和系统对网络的稳定性、转发速率和安全性的高要求｡这种服务器较多的服务器专区可以采用分布式防火墙，分布式防火墙渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。4、内部终端用户区，分部在各个楼层，并且链路是光纤接口，如果部署防火墙系统，一是设备数量很多，二是光纤设备非常昂贵，这样部署防火墙设备的造价很高，大量的投入也并不能提高网络的安全状况，但我们可以在连接终端用户的三层交换机端口上进行简单的访问控制，满足基本的访问控制要求｡5）常用的硬件防火墙1.intelX86架构以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，百兆级的处理能力正好在这种架构的范围内。基于这个架构的防火墙受CPU处理能力和PCI总线速度的制约，很难满足千兆防火墙的高吞吐量，低时延的要求。2.ASIC架构把指令或计算机逻辑固化到硬件中，可以获得很高的处理能力。能够达到线速千兆，满足骨干网络应用的技术方案。但是，由于是固化硬件，所以缺乏灵活性，也不便于修改或升级。ASiC设计费用昂贵且风险较大。3.NP架构采用微码编程，具有以下特点：完全的可编程性简单的编程模式最大化系统灵活性高处理能力高度功能集开放的编程接口入侵检测系统1）入侵检测系统入侵检测：对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统：进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。入侵检测系统的作用：监控、分析用户和系统的活动审计系统的配置和弱点评估关键系统和数据文件的完整性识别攻击的活动模式对异常活动进行统计分析对操作系统进行审计跟踪管理，识别违反政策的用户活动入侵检测系统的功能：监视、分析用户及系统的活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；对异常行为模式进行统计分析；对重要系统和数据文件的完整性进行评估；对操作系统进行审计跟踪管理；识别用户违反安全策略的行为。2）入侵检测的过程 过程分为三部分：信息收集、信息分析和结果处理。信息收集：从入侵检测系统的信息源中收集信息系统、网络、数据以及用户活动的状态和行为入侵检测很大程度上依赖于所收集信息的可靠性和正确性信息分析：入侵检测的关键所收集信息量庞大大部分是正常信息信息分析方法 模式匹配统计分析完整性分析告急与响应：常见告警方式如下：自动终止攻击终止用户连接禁止用户帐号新配置防火墙阻塞攻击的源地址向管理控制台发出警告指出事件的发生向网络管理平台发出SNMPtrap记录事件相关日志及其相关信息向安全管理人员发送提示性电子邮件执行一个用户自定义的程序3）入侵检测的核心技术入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测技术规则进行比较，从而发现入侵行为。一方面入侵检测技术系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂，为了保证入侵检测技术的效率和满足实时性的要求，入侵分析必须在系统的性能和检测技术能力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测技术能力来保证系统可靠、稳定地运行并具有较快的响应速度。分析策略是入侵分析的核心，系统检测技术能力很大程度上取决于分析策略。在实现上，分析策略通常定义为一些完全独立的检测技术规则。基于网络的入侵检测技术系统通常使用报文的模式匹配或模式匹配序列来定义规则，检测技术时将监听到的报文与模式匹配序列进行比较，根据比较的结果来判断是否有非正常的网络行为。这样以来，一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。有的入侵行为很容易映射，如ARP欺骗，但有的入侵行为是很难映射的，如从网络上下载病毒。对于有的入侵行为，即使理论上可以进行映射，但是在实现上是不可行的，比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性，这样的行为由于具有非常庞大的模式匹配序列，需要综合大量的数据报文来进行匹配，因而在实际上是不可行的。而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系，需要消耗大量的处理能力来进行检测技术，因而在实现上也有很大的难度。4）入侵检测技术的分类 根据检测对象划分 基于主机型的入侵检测技术：该类型的入侵检测系统主要针对保护主机安全而设计，在被保护主机中安装嗅探功能的执行程序，使其成为一个基于主机型的入侵检测系统，这是一种软件检测系统。它通过监视、分析主机操作系统的事件日志、应用程序日志、系统和端口调用、安全审计记录来检测入侵，从而保护所在主机的系统安全 基于网络型的入侵检测技术：该类型的入侵检测系统主要针对保护网络而设计，由遍及在网络中的多个网络适配器组成，这些设置为混杂模式，用于嗅探网络中传输的数据包，这是一种硬件检测系统。它通过在共享网段上侦听、采集传输的数据包，分析数据包中的可疑现象，保护整个网段的安全。 混合型的入侵检测技术：由于基于主机和基于网络的入侵检测系统有各自的缺陷，单独使用任何一种类型建立的防御体系都存在不足，混合型入侵检测综合了这两种类型的优点，它既能嗅探网络中的攻击信息，又能分析系统日志中的异常情况，能更加全面地检测针对主机和网络的入侵行为，让攻击行为无处藏身。根据检测技术划分：异常检测该类型的入侵检测系统根据正常主体的活动，建立正常活动的“活动简档”，由于入侵行为异于当前正常的主体活动，当检测到某活动与“活动简档”的统计规律相违背时，即可认为该活动有“入侵”行为的嫌疑。异常检测技术的关键工作是根据正常的主体活动来描述和构建正常活动档案库，它能检测出未知行为，并具有简单的学习功能。 特征模式检测：该类型的入侵检测系统根据入侵活动的规律建立入侵特征模式，并将当前的主体活动与特征模式进行比较，以此来判断是否存在入侵行为，这与异常检测技术原理正好相反。特征模式检测技术的关键是建立入侵活动特征模式的表示形式，且要能够辨别入侵活动和正常活动的区别。该技术仅能检测使用固定特征模式的入侵而非其他任何经过轻微变换后的攻击行为，导致了它的检测准确度不高，另外该技术对系统资源消耗较大，检测速度较慢。协议分析检测该类型的入侵检测系统利用网络协议的高度规则性快速探测入侵活动的存在，它的引擎中包含70多个不同的命令解析器，能完整解析各类协议，详细分析各种用户命令并辨认出每个特征串的含义。该技术具有检测速度快、性能高、误报率低、资源消耗低等特点，并能同时检测已知和未知的入侵活动。根据工作方式划分 离线检测系统该类型的入侵检测系统是非实时工作的检测系统，在系统正常运行时根据用户的操作活动来记录审计事件，由网管人员定期或不定期地分析这些之前记录的审计事件，并根据历史审计记录判断是否存在可能的入侵活动，如果发现存在着入侵活动就立即断开连接，并记录入侵证据和修复数据。该检测方法不具有实时性，入侵活动的检测灵敏度较低。在线检测系统该类型的入侵检测系统是实时联机工作的检测系统，它能实时检测网络连接过程中的入侵行为。在工作过程中，该系统实时分析网络数据包，实时分析主机审计记录，根据用户的历史行为模型、专家知识、神经网络模型等对用户当前的行为实时进行判断，一旦发现有入侵迹象立即断开有害连接，并搜集证据，实施数据恢复。整个检测过程循环进行，保证能及时发现入侵活动，并快速作出响应，入侵活动的检测灵敏度较高。5）入侵检测系统部署 基于主机的入侵检测系统部署 审计数据的获取与预处理 数据获取划分为直接监测和间接监测两种方法。入侵检测时，直接监测要好于间接监测，原因如下：（1）间接数据源（如审计跟踪）的数据可能在IDS使用这些数据之前被篡改。（2）一些事件可能没有被间接数据源记录。（3）使用间接监测，数据是通过某些机制产生的，这些机制并不知道哪些数据是IDS真正需要的。（4）间接数据源通常在数据产生时刻和IDS能够访问这些数据的时刻之间引入时延。而直接监测时延更短，确保IDS能更及时地做出反应。基于统计模型的入侵检测技术异常检测模型异常检测模型是基于正常行为的统计，根据在过去一段时间内正常行为的观测，得到当前活动观测值的“可信区间”。异常检测模型可以通过不断学习使模型趋于精确、完善，相比于特权滥用检测模型，能在一定程度上识别未知类型的攻击及资源的非授权访问在检测系统中，从警报数据可获取的并能衡量异常发生的原始特征数据如下。客户网络发生的攻击数目总量。客户网络发起攻击和受攻击主机数目。边缘网络（Internet）的发起攻击和受攻击主机和网络数目。用户主机和网络被攻击的分布概率。基于专家系统的入侵检测技术基于规则的专家系统从结构组成角度由五部分组成1.知识库；存储和管理系统获取的知识；2.综合数据库；存储领域内的初始数据、证据及推理过程中得到的中间结果等；3.推理机；协调控制整个系统以及决定如何使用知识库中的知识；4解释机，人机交互；5.知识获取，采用基于规则的方法，主要具备以下几个优点。专家系统可有针对性地建立高效的入侵检测系统，检测准确度高。但在具体实现中，专家系统主要面临如下问题。专家知识获取问题，即由于专家系统的检测规则由安全专家用专家知识构因此难以科学地从各种入侵手段中抽象出全面的规则化知识。规则动态更新问题，用户行为模式的动态性要求入侵检测系统具有自学习、自适应的功能。基于状态转移分析的入侵检测技术当前的基于特征的检测方法过渡依赖审计数据，而对IP欺骗攻击而言依赖审计数据的规则很难定义状态分析法的基本思想是将攻击看成一个连续的分步骤的并且各个步骤之间有一定关联的过程。基于智能体的入侵检测技术采用智能体采集和分析数据有以下主要特点。（1）因为智能体是独立的运行实体，因此，不需改变其他的组件，即可向系统中增加或从系统中移走智能体。（2）如果一个智能体由于某种原因（如下线维护）而停止了工作，损失只局限在有限的范围内，不会造成整个系统的瘫痪，这就保证了系统的连续运行。（3）如果将智能体以分级结构的形式组织起来，可以使得系统的可伸缩性更好。系统开销小、智能体的编程可以很灵活。（5）自主智能体采集数据的方法很灵活，基于网络的入侵检测系统部署网络数据包的捕获网络数据包的截获是基于网络的入侵检测技术的工作基石。根据网络类型的不同，网络数据截获可以通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。检索引擎的设计检测引擎的设计是基于网络入侵检测的核心问题。网络检测引擎必须获取和分析网络上传输的数据包，才能得到可能入侵的信息。检测引擎首先需要利用数据包截获机制，截获引擎所在网络中的数据包。经过过滤后，引擎需要采用一定的技术对数据包进行处理和分析，从而发现数据流中存在的入侵事件和行为。有效的处理和分析技术是检测引擎的重要组成部分。从具体的实现机制看，检测引擎可分为嵌入式规则检测引擎和可编程的检测。从具体采用的检测技术看，网络入侵检测引擎常见的技术类型分为两类：模式匹配和协议分析技术。网络入侵特征提取网络入侵特征提取是模式匹配技术和协议分析中的关键步骤IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及识别方法：来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。带有非法TCP标志组合的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记组合的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的附近来识别。几种典型的入侵方式1）口令破解：帐户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。换一种说法，所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码（例如服务）也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。暴力破解。暴力破解基本上是一种被动攻击的方式。黑客在知道用户的账户号后，利用一些专门的软件强行破解用户口令，这种方法不受网段限限制，但需要有足够的耐心和时间。这些工具软件可以自动地从黑客字典中取出一个单词一，作为用户的口令输入给远端的主机，申请进入系统。(2)登录界面攻击法。黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。(3)网络监听。黑客可以通过网络监听非法得到的用户口令，这类方法有一定的局限性，但危害性极大。由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码。(4)密码探测。大多数情况下，操作系统保存和传送密码都要经过一个加密处理的过程，完全看不出原始密码的模样。而且理论上要逆向还原密码的几率几乎为零。但黑客可以利用密码探测的工具，反复模拟编程过程，并将编出和密码与加加密后的密码相比较，如果两者相同，就表示得到了正确的密码。解决方法可以建议用户在设置口令的时候不要将自己的生日、身份证号码、电话号码等容易被人获得信息作为自己的口令，选取一些没有规律的字母数字和符号组合的字符作为自己的口令。此外还可以对口令的传输过程进行加密也可以防止口令被破解。并定期修改密码，防止被破解。2）漏洞攻击：漏洞的产生大致可分为有意和无意的两类。前者是在程序编写过程种，编程人员为了达到不可告人的目的，有意的在程序的隐蔽处留下各种各样的后门。后者是由于编程人员的水平问题，经验和当时安全技术加密方法所限，在程序中总会或多或少的有些不足之处，有的影响程序的效率，有的会导致非授权用户的权利提升。解决方法：

可以通过实时的更新自己的系统，尽快的给自己的系统和软件打好补丁还有把机器的不用的端口都关闭来进行避免。3）木马：比较典型的是特洛伊木马，