第八章 入侵检测系统

内容提要 入侵检测技术用来发现攻击行为，进而采取正确的响应措施，是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理，在了解Snort工作原理的基础上，掌握其安装和使用方法，了解入侵防御技术的特点及其和入侵检测的区别。 2019/4/9

第八章 入侵检测系统 8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术 8.4 入侵检测系统Snort 8.5 入侵防御系统 8.6 实验：基于snort的入侵检测系统安装和使用 8.7 小结 习题 2019/4/9

8.1 入侵检测系统概述 入侵检测系统全称为Intrusion Detection System（IDS），国际计算机安全协会（International Computer Security Association，ICSA）入侵检测系统论坛将其定义为：通过从计算机网络或计算机系统中的若干关键点收集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说，入侵检测通常被认为是一种动态的防护手段。与其他安全产品不同的是，入侵检测系统需要较复杂的技术，它将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大地简化管理员的工作，使管理员能够更容易地监视、审计网络和计算机系统，扩展了管理员的安全管理能力，保证网络和计算机系统的安全运行。 2019/4/9

8.1 入侵检测系统概述（续） 防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 2019/4/9

8.1 入侵检测系统概述（续） 相关术语 攻击 •攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。也可以将入侵检测系统需要分析的数据统称为事件（event） 2019/4/9

8.1 入侵检测系统概述（续） 入侵 •对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 8.1 入侵检测系统概述（续） 入侵 •对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 •对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统（IDS） •用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 2019/4/9

8.1 入侵检测系统概述（续） 入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应：对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失；对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 2019/4/9

8.1 入侵检测系统概述（续） 入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 2019/4/9

入侵检测系统的作用 •监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机。 2019/4/9

8.1 入侵检测系统概述（续） 2019/4/9

8.1 入侵检测系统概述（续） 入侵检测的发展历程 1980年，概念的诞生 1984～1986年，模型的发展 8.1 入侵检测系统概述（续） 入侵检测的发展历程 1980年，概念的诞生 1984～1986年，模型的发展 1990年，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛 2019/4/9

入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。 •基于网络的入侵检测系统（NIDS） •基于主机的入侵检测系统（HIDS） •混合型入侵检测系统（Hybrid IDS） 2019/4/9

入侵检测的实现方式 1、网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。 –安装在被保护的网段（共享网络、交换环境中交换机要 支持端口映射）中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应 2019/4/9

8.1 入侵检测系统概述（续） N Y 图8-1 网络IDS工作模型 2019/4/9

8.1 入侵检测系统概述（续） 网络IDS优势 (1) 实时分析网络数据，检测网络系统的非法行为； 8.1 入侵检测系统概述（续） 网络IDS优势 (1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源； (3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高； (4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后取证分析； (5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。 2019/4/9

8.1 入侵检测系统概述（续） 网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据 (3) 资源及处理能力局限 8.1 入侵检测系统概述（续） 网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性 2019/4/9

入侵检测的实现方式 2、主机IDS 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源 2019/4/9

(2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到NIDS无法检测的攻击 (4) HIDS适用加密的和交换的环境 (1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到NIDS无法检测的攻击 (4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备 2019/4/9

主机IDS的劣势 (1) HIDS对被保护主机的影响 (2) HIDS的安全性受到宿主操作系统的限制 (5) 维护/升级不方便 2019/4/9

3、两种实现方式的比较： 1)如果攻击不经过网络,基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测； 2)基于网络的IDS通过检查所有的包头来进行检测，而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击； 3)基于网络的IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。 2019/4/9

4、混合型入侵检测系统（Hybrid IDS） 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。 2019/4/9

入侵检测系统的功能（小结） 1、监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作； 2、检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3、对用户的非正常活动进行统计分析，发现入侵行为的规律； 4、检查系统程序和数据一致性与正确性，如计算和比较文件系统的校验； 5、能够实时对检测到的入侵行为作出反应； 6、操作系统的审计跟踪管理。 2019/4/9

8.2 入侵检测系统的组成 根据不同的网络环境和系统的应用，入侵检测系统在具体实现上也有所不同。从系统构成上看，入侵检测系统至少包括数据提取、人侵分析、响应处理三个部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。如1987年Denning提出的通用入侵检测模型主要由六部分构成，IDES与它的后继版本NIDES都完全基于Denning的模型；另外，在总结现有的入侵检测系统的基础上提出了一个入侵检测系统的通用模型如图8-2所示。 2019/4/9

8.2 入侵检测系统的组成 通用入侵检测框架 (Common Intrusion Detection Framework，CIDF)把一个入侵检测系统分为以下组件: 图8-2 CIDF的入侵检测通用模型 2019/4/9

8.2 入侵检测系统的组成 CIDF把一个入侵检测系统分为以下组件: 事件产生器：负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件，又称传感器(sensor)。 事件分析器：接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断结果变为警告信息。 事件数据库：存放各种中间和最终入侵信息的地方，并从事件产生器和事件分析器接收需要保存的事件，一般会将数据长时间保存。 事件响应器：是根据入侵检测的结果，对入侵的行为作出适当的反映，可选的响应措施包括主动响应和被动响应。 2019/4/9

8.2 入侵检测系统的组成 IDS的基本结构 无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。 2019/4/9

8.2 入侵检测系统的组成（续） IDS的基本结构 引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 图8-3 引擎的工作流程 2019/4/9

8.2 入侵检测系统的组成（续） IDS的基本结构 控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。 事件/策略数据库 图8-4 控制中心的工作流程 2019/4/9

8.3入侵检测的相关技术 IDS采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有： 静态配置分析技术 异常检测技术 误用检测技术 1．静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。 2019/4/9

8.3入侵检测的相关技术（续） IDS采用的技术 2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。 2019/4/9

8.3入侵检测的相关技术（续） IDS采用的技术 3．误用检测技术 误用检测技术(Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有知识的检测。 这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测分析技术的比较 1．模式匹配的缺陷 1）计算负荷大 2）检测准确率低 2．协议分析新技术的优势 1）提高了性能 2）提高了准确性 3）反规避能力 4）系统资源开销小 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 1、入侵检测系统的主要相关术语： 警告(Alert/Alarm)：用来表示一个系统被攻击者攻击，一般包含从攻击内容中得到的攻击信息，或者异常事件和统计信息。 误警(False Positive)：也成误报，指入侵检测系统对那些良性事件的报警，这表明IDS的错误报警，太多的误警可能导致正常的报警事件被淹没。 漏警(False Negative)：也称漏报，当一个攻击事件已经发生，而入侵检测系统却没有有效地检测出来，如果漏警太多，或者关键入侵事件的漏报就使入侵检测系统失去了其存在意义； 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 噪声(Noise)：指入侵检测系统生成但又没有真正威胁的报警，这些报警是正确的，并且也是可疑的，如配置于防火墙之外的入侵检测系统检测到的扫描事件，可能被防火墙过滤而没有产生扫描攻击，但是入侵检测系统却检测到并产生报警。 重复报警(Repetitive Alarm)： 指入侵检测系统对某一入侵事件的反复报警，重复报警并不表示入侵检测系统的错误行为，太多的重复报警也可能使网络管理员产生视觉疲劳，影响对其他攻击产生适当响应，另外与其他安全技术协同工作也可能产生严重问题，过多的重复报警可能会产生拒绝服务。 2019/4/9

8.3入侵检测的相关技术（续） 2、准确性指标 在很大程度上取决于测试时采用的样本集和测试环境。包括： 入侵检测系统的性能指标 2、准确性指标 在很大程度上取决于测试时采用的样本集和测试环境。包括： 检测率(%)：指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为：检测到的攻击数/攻击事件总数； 误警率(%)：是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率，其值为：1－(正确的告警数/总的告警数)； 漏警率(%)：已经攻击而没有检测出来的攻击占所有攻击的概率，通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为(攻击事件－检测到的攻击数)/攻击事件总数； 重复报警率(%)：重复报警占所有报警的比率，其值为重复报警数/总的报警数。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 3、效率指标 根据用户系统的实际需求，以保证入侵检测准确性的前提下，提高入侵检测系统的最大处理能力。效率指标也取决于不同的设备级别，如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括：最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 最大处理能力： 指网络入侵检测系统在维持其正常检测率的情况下，系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量（Mbps或Gbps）来表示。取决于三个因素，其一是入侵检测系统抓包能力，其二是分析引擎的分析能力，最后还与数据包的大小有直接关系，相同流量下，网络数据包越小，数据包越多，处理能力越差。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 每秒能监控的网络连接数：网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。例如：检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。 每秒能够处理的事件数：网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 系统指标 系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括：最大规则数、平均无故障间隔等。 最大规则数：系统允许配置的入侵检测规则条目的最大数目。 平均无故障间隔：系统无故障连续工作的时间。 2019/4/9

8.3入侵检测的相关技术（续） 其它指标 系统结构： 完备的IDS应能采用分级、远距离分式式部署和管理。 入侵检测系统的性能指标 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 事件数量：考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。 处理带宽 ：IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 探测引擎与控制中心的通信：作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。 身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 事件定义：事件的可定义性或可定义事件是IDS的一个主要特性。 二次事件：对事件进行实时统计分析，并产生新的高级事件能力。 事件响应：通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应，也可通过TCP阻断、防火墙联动等方式主动响应。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统的性能指标 自身安全：自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。 终端安全 ：主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。 2019/4/9

8.3入侵检测的相关技术（续） 入侵检测系统面临的主要问题 入侵检测系统作为一种新型网络安全防护手段，发挥很大作用，但是与诸如防火墙等技术高度成熟的产品相比，入侵检测系统还存在相当多的问题： 1、层出不穷的入侵手段 2、越来越多的信息采用加密的方法传输 3、不断增大的网络流量 4、缺乏标准 5、误报率过高 2019/4/9

8.4 入侵检测系统Snort 8.4.1 Snort概述 Snort是一个功能强大、跨平台、轻量级的网络入侵检测系统，从入侵检测分类上来看，Snort应该是个基于网络和误用的入侵检测软件。它可以运行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix 系统、Windows等操作系统之上。Snort是一个用C语言编写的开放源代码软件，符合GPL(GNU通用公共许可证 GNU General Public License)的要求，由于其是开源且免费的，许多研究和使用入侵检测系统都是从Snort开始，因而Snort在入侵检测系统方面占有重要地位。Snort的网站是http://www.snort.org。用户可以登陆网站得到源代码，在Linux和Windows环境下的安装可执行文件，并可以下载描述入侵特征的规则文件。 2019/4/9

8.4 入侵检测系统Snort 8.4.2系统组成和处理流程 图8－5 Snort程序流程图 2019/4/9

8.4 入侵检测系统Snort（续） 虽然Snort是一个轻量级的入侵检测系统，但是它的功能却非常强大，其特点如下： 1、跨平台性 2、功能完备 3、使用插件的形式 4、Snort规则描述简单 Snort基于规则的检测机制十分简单和灵活，使得可以迅速对新的入侵行为做出反应，发现网络中潜在的安全漏洞。同时该网站提供几乎与http://www.cert.org（应急响应中心，负责全球的网络安全事件以及漏洞的发布）同步的规则库更新，因此甚至许多商业的入侵检测软件直接就使用Snort的规则库。 2019/4/9

snort是一个轻量级的入侵检测系统 snort的可移植性很好 snort的功能非常强大 扩展性能较好，对于新的攻击威胁反应迅速 遵循公共通用许可证GPL 2019/4/9

2、SNORT的安装 （1）如何获得snort bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm 2019/4/9

3、SNORT的应用 （1）作为嗅探器 把TCP/IP包头信息打印在屏幕上，输入下面的命令： ./snort -v 要看到应用层的数据，可以使用下面的命令： ./snort -vd 要显示数据链路层的信息，使用下面的命令： ./snort -vde 下面的命令就和上面最后的一条命令等价： ./snort -d -v -e 2019/4/9

目录以数据包目的主机的IP地址命名，例如192.168.24.1： （2）记录数据包 指定一个日志目录： ./snort -dev -l ./log 目录以数据包目的主机的IP地址命名，例如192.168.24.1： ./snort -dev -l ./log -h 192.168.1.0/24 把所有的包日志到一个单一的二进制文件中： ./snort -l ./log -b 在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上，可以输入下面的命令： ./snort -dv -r packet.log 从日志文件中提取ICMP包，只需要输入下面的命令行： ./snort -dvr packet.log icmp 2019/4/9

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf （3）作为入侵检测系统 使用下面命令行可以启动入侵检测模式： ./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 如果想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。 此外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以-e选项也可以不用： ./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 2019/4/9

使用默认的日志方式（以解码的ASCII格式）并且把报警发给syslog： （4）配置实例 使用默认的日志方式（以解码的ASCII格式）并且把报警发给syslog： ./snort -c snort.conf -l ./log -s -h 192.168.1.0/24 使用二进制日志格式和SMB报警机制： ./snort -c snort.conf -b -M WORKSTATIONS （5）snort规则简介 snort有三种处理动作：pass、log、alert。 （详情参阅教材8.4.3 Snort的操作与使用） 2019/4/9

8.5入侵防御系统 8.5.1产生背景 防火墙、入侵检测都有各自的优点和缺陷，随着网络的日益普及，攻击也越来越多，许多新的攻击方法不仅仅利用基本网络协议，还会在上层应用协议中嵌入攻击数据，从而逃避防火墙的拦截。另外，各种恶意程序(蠕虫、病毒、木马等)的广泛传播，导致来自网络内部的攻击数量大大增加，更加提高了网络安全防御的难度。在这样的情况下，仅仅依靠传统的防火墙或入侵检测技术，已经无法对网络及网络内部的各种资源进行很好的防护，网络受到攻击后作出响应的时间越来越滞后，不能很好地解决日趋严重的网络安全问题。在此背景下，人们提出入侵防御系统(Intrusion Prevention System，IPS)的解决方案。 2019/4/9

8.5入侵防御系统 8.5.2 工作原理 IPS 作为一种网络主动防御技术是当前研究的热点。与IDS相比，它在实时发现、阻断攻击、防止未知攻击以及防御主动性等方面具有一定优势。 IPS要求对分析攻击的准确性要求非常高，几乎是100%的准确率。在数据的处理和语法规则的定义等方面也作了很大的改进，继承了IDS 大部分的算法规则，并且进行了大量改进。主要表现在定义和添加语法规则更加容易，同时能够检测并分析出新的、未知类型攻击。 2019/4/9

8.5入侵防御系统 8.5.2 工作原理（续） IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用从链路层到应用层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。 2019/4/9

8.5入侵防御系统 8.5.3 IPS的分类 入侵防护系统根据部署方式可分为三类：基于主机的入侵防御系统，基于网络的入侵防御系统，基于应用的入侵防御系统。分别描述如下： 1、基于主机的入侵防御系统（HIPS） 2、基于网络的入侵防御系统（NIPS） 3、基于应用的入侵防御系统（AIPS） 2019/4/9

8.5入侵防御系统 8.5.3 IPS的分类（续） 1、基于主机的入侵防御系统（HIPS） 2019/4/9

8.5入侵防御系统 8.5.3 IPS的分类（续） 2、基于网络的入侵防御系统（NIPS） 通过检测流经的网络流量，提供对网络系统的安全保护。NIPS融入了已有的NIDS技术，包括误用检测、协议分析和异常检测。 2019/4/9

8.5入侵防御系统 8.5.3 IPS的分类（续） 3、基于应用的入侵防御系统（AIPS） IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。 2019/4/9

8.5入侵防御系统 8.5.5 IPS与IDS比较 IPS与IDS都基于检测技术，最初人们认为IPS将代替IDS，但是多年的发展后并没有代替IDS，而是而这共存发展，各有优势。这主要是因为，二者存在着不同作用： 1、使用方式不同 2、设计思路不同 3、发展目标不同 因此，防护与监控本是安全建设中相辅相成的两个方面，只有IDS并不能很好地实时防御入侵，但只有IPS就不能全面地了解入侵防御改善的状况。 2019/4/9

天阗网络入侵检测系统典型部署结构图 2019/4/9

8.7 小结 本章介绍了防御技术中的入侵检测技术。重点讲解了入侵检测系统的基本概念，介绍了检测的数据采集方法、分析技术以及入侵检测的部署方法，入侵响应技术和入侵检测技术的主要性能指标。以Snort入侵检测系统为例，介绍了入侵检测系统的安装和使用，最后讲述了入侵防御系统的工作原理和存在的问题。 2019/4/9

1、入侵检测系统是由哪些部分组成？各自的作用是什么？ 2、根据数据的来源不同，入侵检测系统可以分为哪些种类，各有什么优缺点？ 3、根据分析方法的不同，入侵检测系统可以分为哪些种类，各有什么优缺点？ 4、简述入侵检测IPS与IDS的区别，在网络安全综合方案中各发挥什么样的作用？ 2019/4/9