中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn.

Presentation on theme: "中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn."— Presentation transcript:

1 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn
《网络信息安全》 中国科学技术大学 肖 明 军

2 第10章 入侵检测系统 1 入侵检测系统概述 2 入侵检测分类 3 入侵检测技术 4 入侵检测产品

3 一、入侵检测系统概述 1 入侵检测系统及起源 2 入侵检测系统的基本结构 3 入侵检测系统分类 4 基本术语

4 IDS存在与发展的必然性 网络安全本身的复杂性，被动式的防御方式显得力不从心。
有关防火墙：网络边界的设备；自身可以被攻破；对某些攻击保护很弱；并非所有威胁均来自防火墙外部。 入侵很容易：入侵教程随处可见；各种工具垂手可得

5 入侵检测系统概述 Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 什么是入侵检测 入侵检测（Intrusion Detection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 什么是入侵检测系统 入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。它使安全管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害。入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件，再分析处理这些事件，检测出入侵事件。

6 入侵检测的起源（1/3） 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。
1980年，James P. Anderson的《计算机安全威胁监控与监视》（《Computer Security Threat Monitoring and Surveillance》） 第一次详细阐述了入侵检测的概念：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作

7 入侵检测的起源（2/3） 1986年，为检测用户对数据库异常访问，W.T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。 1987年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统），首次将入侵检测的概念作为一种解决计算机系统安全防御问题的措施提出。 1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS

8 入侵检测的起源（3/3） 1988年之后，美国开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。

9 IDS基本结构 IDS通常包括以下功能部件： 事件产生器 事件分析器 事件数据库 响应单元

10 事件产生器（1/4） 负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。
收集内容：系统、网络数据及用户活动的状态和行为，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为

11 事件产生器（1/4） 注意： 防止被篡改而收集到错误的信息 入侵检测很大程度上依赖于收集信息的可靠性和正确性
要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性， 防止被篡改而收集到错误的信息

12 事件分析器（2/4） 接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。 分析方法：
模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改

13 事件数据库（3/4） 存放各种中间和最终数据的地方。 从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。

14 响应单元（4/4） 根据告警信息做出反应，是IDS中的主动武器。 可做出： 强烈反应：切断连接、改变文件属性等 简单的报警

15 入侵检测系统模型 信息收集器 响应 分析器 数据库 目录服务器

16 入侵检测原理 入侵检测跟其他检测技术有同样的原理，那就是从一组数据中，检测出符合某一特征的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的信息混在一起。入侵检测的任务就是从这个混合信息中找出是否有入侵的痕迹，如果有就报警。从这个原理来看，入侵检测系统有两个重要部分：数据取得和检测技术。

17 入侵检测工作流程 信息收集：入侵检测的第一步是信息收集，内容包括网络流量、用户连接活动等。
信息分析：一般通过三种技术手段进行信息分析：模式匹配，统计分析和完整性分析。 实时记录、报警或有限度反击：IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。

18 入侵检测性能关键参数 误报(false positive)：实际无害的事件却被IDS检测为攻击事件。
漏报(false negative)：一个攻击事件未被IDS检测到或被分析人员认为是无害的。

19 入侵检测的分类 按照分析方法/检测原理 按照数据来源 按照体系结构 按照工作方式 异常检测和误用检测 基于主机和基于网络 集中式和分布式
离线和在线

20 入侵检测的分类（1） 按照分析方法/检测原理
异常检测（Anomaly Detection )：首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

21 异常检测 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程：
指标：漏报率低,误报率高 监控 量化 比较 判定 修正

22 异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频率
优点：异常检测的优点在于无需获取攻击行为的特征。它既可以检测已知攻击，也可以检测未知的各种攻击，并可以使用户模型随用户行为的改变而自动更新。 缺点：(1)阈值难以设定；(2)检测错误率较高； (3)攻击者可以通过渐进的方式改变用户模型；(4)无法识别攻击的类型，因此难以采取相应的措施来阻止攻击。

23 误用检测 前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵
过程： 指标：误报低、漏报高 监控 特征提取 匹配 判定

24 误用检测 如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。

25 特点 误用检测的优点在于攻击检测的准确率高；能够识别攻击类型，可以采取相应措施阻止攻击。
其缺点在于总是滞后于新出现的攻击；由于采用精确匹配技术，难以检测到攻击的各种变形；需要不断的更新攻击特征库。 由于误用检测和异常检测各兼具不同的优缺点，所以许多入侵检测系统都采用二者相结合的方式，以达到最佳检测效果。

26 入侵检测的分类（2） 按照数据来源 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机
基于网络：系统获取的数据是网络传输的数据包，保护的是网络的正常运行 混合型

27 基于主机的入侵检测系统（HIDS）

28 HIDS的工作原理

29 HIDS 注意： 监视与分析主机的审计记录和日志文件 主要用于保护运行关键应用的服务器
最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动 能否及时采集到审计记录 如何保护作为攻击目标的HIDS

30 基于主机的入侵检测系统对于特定主机给予了定制性的保护，对于发生在本地的、用户级的、特征性比较明显的入侵行为有防范作用。
但是，这种模式对于发生在网络传输层的入侵通常是无可奈何的，想让应用级特征比较强的系统同时把系统级和网络底层技术实现得比较完善是不太现实的。 虽然我们可以看到在Linux系统上实现了Lids，毕竟象Solaris，NT这样的系统，我们能够了解的非常有限。

31 基于网络的入侵检测系统（NIDS）

32 基于网络的入侵检测系统工作原理

33 NIDS 注意： 在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境
非共享网络上如何采集数据

34 基于网络的入侵检测系统需要监视整个网络的流量，匹配可疑行为特征。
技术实现通常必须从网络和系统的底层入手，而且它同时保护的是网络上的一批主机，无论它们 使用的什么系统。 基于网络的入侵检测系统不关心某一台主机之上正在进行着什么操作，只要这些操作数据不会扩散到网络上来。网络入侵检测系统是以行为模式匹配为基础的，它有匹配失误的可能，即存在不能确定某种行为是入侵而将其放行的可能。那么当一个“聪明”的入侵者骗过了这种系统，顺利地进入一台主机，该系统的厄运开始了。

35 两类IDS监测软件 网络IDS 主机IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 视野集中 易于用户自定义 保护更加周密
对网络流量不敏感

36 入侵检测的分类（3） 按照体系结构 集中式：有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。（可伸缩性、可配置性差） 分布式：将中央检测服务器的任务分配给多个HIDS，它们不分等级，负责监控当地主机的可疑活动。（可伸缩性、安全性高；但维护成本高，监控主机的工作负荷重）

37 入侵检测的分类（4） 按照工作方式 离线检测：非实时工作，在行为发生后，对产生的数据进行分析。（成本低，可分析大量事件、分析长期情况；但无法提供及时保护） 在线检测：实时工作，在数据产生的同时或者发生改变时进行分析（反应迅速、及时保护系统；但系统规模较大时，实时性难以得到实际保证）

38 基本术语 Alert（警报） Signatures（特征） Promiscuous（混杂模式）

39 Alert（警报） 当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系统管理员
如果是远程控制台，那么alert将通过IDS的内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、 、SMS（短信息）或者以上几种方法的混合方式传递给管理员。

40 Signatures（特征） 攻击特征是IDS的核心，它使IDS在事件发生时触发。
有人将IDS所支持的特征数视为IDS好坏的标准，但是有的厂商用一个特征涵盖许多攻击，而有些厂商则会将这些特征单独列出，这就会给人一种印象：好像它包含了更多的特征，是更好的IDS

41 Promiscuous（混杂模式） 默认状态下，IDS网络接口只能“看到”进出主机的信息，也就是所谓的non-promiscuous（非混杂模式） 如果网络接口是混杂模式，就可以“看到”网段中所有的网络通信量，不管其来源或目的地 这对于网络IDS是必要的

42 入侵检测系统的主要功能 入侵检测系统不但可使系统管理员时刻了解网络系统的变更，还能为网络安全策略的制定提供指南。入侵检测系统的功能应达到能根据网络威胁、系统构造和安全需求的改变而改变，在发现入侵时，及时作出响应，包括切断网络连接、记录事件和报警等，同时系统应易于管理、配置和升级。通常入侵检测系统的主要功能有：

43 1. 入侵检测系统的主要功能 (1) 监测并分析用户和系统的活动。 (2) 核查系统配置和漏洞。
(3) 评估系统关键资源和数据文件的完整性。 (4) 识别已知的攻击行为。 (5) 统计分析异常行为。 (6) 操作系统日志管理，并识别违反安全策略的用户活动。 (7) 在线升级功能。

44 2. 入侵检测产品的选购原则 目前，入侵检测产品很多，在选购过程中要注意以下基本原则。
(1) 能检测的攻击数量为多少，是否支持升级，升级是否方便及时。 (2) 最大可处理流量是多少，是否能满足网络的需要，注意不要产生网络的瓶颈。 (3) 产品应该不易被攻击者躲避。 (4) 提供灵活的自定义策略，用户能自定义异常事件。 (5) 根据需要选择基于百兆网络、基于千兆网络或基于主机的系统。

45 2. 入侵检测产品的选购原则 (6) 多数产品存在误报和漏报，要注意产品的误报和漏报率。
(7) 入侵检测系统本身的安全非常重要，必须有自我保护机制，防止成为攻击目标。 (8) 对网络的负载不能影响正常的网络业务，必须能对数据进行实时分析。 (9) 系统易于管理和维护。 (10) 特征库升级与维护的费用。 (11) 产品要通过国家权威机构的评测。 由于用户的实际情况不同，因此用户需根据自己的安全需要综合考虑。

46 二 入侵检测技术 异常检测技术 1 误/滥用检测技术 2 高级检测技术 3 入侵诱骗技术 4 入侵响应技术 5

47 1异常检测技术 概率统计异常检测 神经网络异常检测

48 概率统计异常检测方法 是异常检测技术中应用最早也是最多的一种方法 根据异常检测器观察主体的活动，然后产生刻划这些活动的行为轮廓（用户特征表）
每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓（更新），通过比较当前轮廓与统计轮廓来判定异常行为。

49 概率统计异常检测方法 优点：可应用成熟的概率统计理论 缺点：
由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报 定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高

50 基于神经网络异常检测方法 基本思想：用一系列信息单元（命令）训练神经元
神经网络的输入层是用户当前输入的命令和已执行过的W个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令 若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。

51 基于神经网络异常检测方法 优点： 缺点：网络拓扑结构以及各元素的权重很难确定。
更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新 有较好的抗干扰能力 缺点：网络拓扑结构以及各元素的权重很难确定。

52 2误/滥用检测技术 误用入侵检测：指通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测
入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在多种构造方式的入侵企图

53 滥用入侵检测方法 专家系统滥用检测 状态转换分析滥用检测

54 专家系统滥用入侵检测方法 是滥用检测技术中运用最多的一种方法
通过将安全专家的知识表示成If－Then结构的规则（ if部分：构成入侵所要求的条件；then部分：发现入侵后采取的相应措施）形成专家知识库，然后运用推理算法检测入侵 注意： 需要解决的主要问题是处理序列数据和知识库的维护（只能检测已知弱点）；

55 专家系统滥用入侵检测方法 具体实现中所面临的问题： 商业产品一般不采用专家系统
全面性问题：难以科学地从各种入侵手段中抽象出全面地规则化知识； 效率问题：需要处理的数据量过大 商业产品一般不采用专家系统

56 状态转换分析滥用入侵检测方法 主要思想：将入侵过程看作一个行为序列，该行为序列导致系统从初始状态转入被入侵状态。分析时，需要针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件（导致系统进入被入侵状态必须执行的操作/特征事件）；然后用状态转换图来表示每一个状态和特征事件。 缺点：不善于分析过分复杂的事件，也不能检测与系统状态无关的入侵。

57 3高级检测技术 文件完整性检查 计算机免疫检测 数据挖掘

58 文件完整性检查 主要思想：检查计算机中自上次检查后文件的变化情况。首先保存保护文件的信息摘要数据库，每次检查时，重新计算文件的数字摘要并与之进行比较，并判断文件是否被更改。 典型产品代表：Tripwire 优点：几乎不可能攻破（数学上分析）；有效的检测文件是否被更改的工具；灵活性好 缺点：依赖于本地的文摘数据库，可能被入侵者修改；做完整的文件完整性检查非常耗时。

59 计算机免疫检测 受生物免疫机制的启发：生物系统中的脆弱性因素都是由免疫系统来妥善处理的，而这种免疫机制在处理外来异常时呈现了分布的、多样性的、自治的和自修复的特征，免疫系统通过识别异常或以前未出现的特征来确定入侵。 主要思想：通过正常行为（以系统处理为中心）的学习来识别不符合常态的行为序列。 缺点：难以获得程序运行的所有情况的执行轨迹；检测不出利用程序合法活动进行非授权存取的攻击。

60 数据挖掘 数据挖掘（Data Mining）：从大型数据库或数据仓库中提取人们感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识一般可表示为概念、规则、规律、模式等形式。 数据挖掘技术是一种决策支持过程，它是一门交叉性学科，主要基于AI，机器学习、模式识别、统计学、数据库等技术，能高度自动化地分析原有数据，做出归纳性推理，从而提取出有用信息。 数据挖掘过程：数据准备、数据清理和集成、数据挖掘、知识表示、模式评估

61 数据挖掘 运用关联分析，能够提取入侵行为在时间和空间上的关联，可以进行的关联包括源IP关联、目标IP关联、数据包特征关联、时间周期关联、网络流量关联等 可以解决的问题： 弥补模式匹配技术对未知攻击无能为力的弱点 使检测模型的构建自动化，发展异常检测方法 数据挖掘技术在入侵检测中的主要应用方向： 发现入侵的规则、模式，与模式匹配检测方法相结合 找出用户正常行为，创建用户的正常行为库

62 4入侵诱骗技术 定义：用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并进而找到有效的对付方法。
特点：试图将攻击者从关键系统引诱开。是一种主动防御技术。 设计目的：从现存的各种威胁中提取有用的信息，以发现新型的攻击工具、确定攻击的模式并研究攻击者的攻击动机。 蜜罐技术（Honeypot）：是一种被侦听、被攻击或已经被入侵的资源。注意：Honeypot并非一种安全解决方案，它只是一种工具，而且只有Honeypot受到攻击，它的作用才能发挥出来。

63 蜜罐位置 蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。当然，根据所需要的服务，某些位置可能比其他位置更好一些。 通常放置的三个位置： 1.在防火墙前面； 2.DMZ中； 3.在防火墙后面。

64

65 5入侵响应技术 主动响应：入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。
形式：由用户驱动；系统本身自动执行 基本手段：①对入侵者采取反击行动（严厉方式；温和方式；介于严厉和温和之间的方式） ②修正系统环境 ③收集额外信息 被动响应：入侵检测系统仅仅简单地报告和记录所检测出的问题。 形式：只向用户提供信息而依靠用户去采取下一步行动的响应。 基本手段：①告警和通知 ②SNMP（简单网络管理协议），结合网络管理工具使用。

66 3 Windows 2000 Server入侵检测 经过精心配置的Windows 2000 Server可以防御90%以上的入侵和渗透，但是，系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着，因此，做好Windows 2000 Server入侵检测工作非常必要。 下面介绍利用Windows 2000 Server自身的功能。

67 3Windows 2000 Server入侵检测 1. 基于Web服务端口入侵的检测
大多数情况下，IIS的日志会记录它接收到的任何请求，所以系统管理员可以利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志往往很大，人工检查几乎不可能实现，可以使用日志分析软件。在进行日志分析时，建立一张敏感字符串列表，包含已有的IIS漏洞以及会调用的资源(如Global.asa、cmd.exe)，通过过滤这张不断更新的字符串表，可以了解入侵者的行动。使用日志分析软件会占用一定的系统资源，建议放在夜里空闲时使其自动执行。

68 3Windows 2000 Server入侵检测 2. 基于安全日志的检测
首先是在管理工具—本地安全策略—本地策略—审核策略中打开必要的审核。一般情况下，登录事件、账户管理、成功和失败审核非常必要，然后配置安全日志的大小及覆盖方式，如果配置不当入侵者就能够通过洪水般的伪造入侵请求覆盖掉真正的行踪。通常情况下，将安全日志的大小指定为50 MB并且只允许覆盖七天前的日志可以避免上述情况的出现。此外，要制定安全日志的检查机制，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动。

69 3Windows 2000 Server入侵检测 除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，入侵者除了在安全日志中留下痕迹，在系统和应用程序日志中也会留下蛛丝马迹。 3. 文件访问日志与关键文件保护 对于关键的文件，要加设文件访问日志，记录对这些文件的访问。文件访问有很多的选项，如访问、修改、执行、新建和属性更改等。关注访问和修改就能起到很大的监视作用，如监视系统目录的修改、创建，部分重要文件的访问(如cmd.exe，system32目录等)，那么，入侵者就很难安放后门，但监视的关键文件和项目不能太多，否则会增加系统负担，扰乱日常的日志监测工作。

70 3Windows 2000 Server入侵检测 4. 进程监控
进程监控技术是追踪木马后门的有力武器， 90%以上的木马和后门是以进程的形式存在的。做一份服务器运行进程的列表，能帮助管理员迅速发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后用rundll32运行。 5. 注册表校验 一般木马或者后门都会利用注册表来再次运行自己，所以校验注册表来发现入侵也是常用的手法之一。应对的方法是运行监控注册表的软件监控注册表的任何改动，并定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

71 3Windows 2000 Server入侵检测 6. 端口监控
对于用户来说，了解自己服务器上开放的端口非常重要，可以及时发现并记录是否被攻击。利用Windows 2000自带的netstat命令就可以实现这个功能。 首先建立一个批处理文件(如文件名为netlog.bat)，文件内容如下： time /t>>netstat.log netstat -n -p tcp 10>>netstat.log 第一行是记录时间，time /t的意思是直接返回系统时间，用追加符号“>>”把这个时间记入netstat.log作为日志的时间字段。

72 3Windows 2000 Server入侵检测 第二行是每10秒钟自动查看一次TCP的连接状况。
然后运行netlog.bat将会自动记录时间和TCP连接状态，如果网站访问量比较大，这样的操作需要消耗一定的CPU时间，而且日志文件将越来越大，所以要慎重。 一旦发现异常的端口，可以使用软件(如AntiyPorts软件)来查看服务器监听的端口和进程，并找出与该端口关联的文件，这样就可以及时发现是哪个文件使用了异常端口，并可以终止该进程。

73 3Windows 2000 Server入侵检测 7. 终端服务的日志监控
微软Windows 2000 Server版中自带的终端服务Terminal Service是一个基于远程桌面协议的工具，可以成为一个很好的远程管理软件，但是这个软件功能强大而且只受到密码的保护，也非常的危险，入侵者一旦拥有了管理员密码，就能像本机一样操作远程服务器。虽然终端服务有日志，但不记录客户端的IP地址。使用与端口监控相识的方法可以实现记录客户端的IP地址的功能。

74 3Windows 2000 Server入侵检测 首先建立一个批处理文件(如文件名为tslog.bat)，文件内容如下：
time /t >>tslog.log netstat -n -p tcp | find ":3389">>tslog.log start Explorer 第一行是记录用户登录的时间(同端口监控)。 第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-p tcp是只显示tcp协议，用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“:3389”的行(这就是要找的客户的IP所在的行，如果更改了终端服务的端口，这个数值也要作相应的更改)，最后把这个结果重定向到日志文件tslog.log中去，tslog.log文件中的记录格式如下：

75 3Windows 2000 Server入侵检测 22:40 TCP : :4903 ESTABLISHED 22:54 TCP : :1039 ESTABLISHED 也就是说只要这个tslog.bat文件一运行，所有连在3389端口上的IP都会被记录。 第三行是用户进入桌面。如果不加这一行命令，用户就没有办法进入桌面。 然后在用户登录的批处理中添入tslog.bat。这样只要用户一登录相关信息就会被记录下来。

76 3Windows 2000 Server入侵检测 8. 陷阱技术
陷阱技术也称为蜜罐技术，是指网络管理员能够以极低的成本构造出一套虚拟的网络和服务，并且故意留出漏洞，让攻击者扫描、攻击，并实时观察、记录入侵者的来源和操作手法。随着矛盾的不断升级，现在的陷阱服务越来越像真正的服务，这样不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助管理员判断入侵者的身份和目的，然后采取防范措施，完善真正的系统的保护手段。

77 3Windows 2000 Server入侵检测 9 端口扫描
9 端口扫描 据统计，端口扫描在网络扫描中大约占了96%，网络攻击者和网络管理员都需要网络监听和扫描工具，只不过他们的目的不同。对于网络攻击者，是作为进行网络攻击的工具，而对于网络管理员，是作为网络管理和保护网络安全的工具，及时发现网络中计算机的安全漏洞、特洛伊木马程序、攻击者留下的后门等，以便采取相应的措施保护网络的安全。在使用网络监听和扫描工具时，一定要考虑到网络的承受能力和对目标计算机的影响。需要说明的是无论处于何种目的，进行网络监听和扫描时必须在国家法律法规允许的范围内进行。

78 谢谢！