計算機網(wǎng)絡(luò)安全第八章(IDS)

入侵檢測入侵檢測概述IDS的基本結(jié)構(gòu)IDS的常用分類IDS的檢測技術(shù)IDS的設(shè)置IDS的部署IDS的應(yīng)用1/10/20241什么是入侵檢測？目錄10之1

入侵檢測（IntrusionDetection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS:IntrusionDetectionSystem）。1/10/20242為什么需要IDS？目錄10之2入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護很弱不是所有的威脅來自防火墻外部防火墻是鎖，IDS是監(jiān)視器1/10/20243如何使用IDS？目錄10之3IDS可以作為防火墻的一個有效的補充，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。1/10/20244圖示目錄10之4報警日志攻擊檢測記錄入侵過程重新配置防火墻路由器內(nèi)部入侵入侵檢測記錄終止入侵1/10/20245IDS發(fā)揮的作用技術(shù)層面對具體的安全技術(shù)人員，可以利用IDS做為工具來發(fā)現(xiàn)安全問題、解決問題。目錄10之5檢測發(fā)現(xiàn)告警處理從不知到有知1/10/20246IDS發(fā)揮的作用管理層面對安全管理人員來說，是可以把IDS做為其日常管理上的有效手段。目錄10之6管理評估威懾從被動到主動1/10/20247IDS發(fā)揮的作用領(lǐng)導層面對安全主管領(lǐng)導來說，是可以把IDS做為把握全局一種有效的方法，目的是提高安全效能。目錄10之7教訓總結(jié)優(yōu)化從事后到事前1/10/20248IDS發(fā)揮的作用意識層面對政府或者大的行業(yè)來說，是可以通過IDS來建立一套完善的網(wǎng)絡(luò)預警與響應(yīng)體系，減小安全風險。目錄10之8建立預警機制采取災(zāi)備措施提高保障意識從預警到保障1/10/20249IDS發(fā)展過程

—概念的誕生目錄10之91980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）：指出必須改變現(xiàn)有的系統(tǒng)審計機制，以便為專職系統(tǒng)安全人員提供安全信息—預警；提出了對計算機系統(tǒng)風險和威脅的分類方法，分為外部滲透、內(nèi)部滲透和不法行為三種；提出利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。1/10/202410IDS發(fā)展過程

—研究和發(fā)展目錄10之10Denning于1986年發(fā)表的論文“入侵檢測模型”被公認為是IDS領(lǐng)域的又一篇開山之作；1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了一套網(wǎng)絡(luò)入侵檢測系統(tǒng)（NetworkSecurityMonitor）；從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。1/10/202411IDS的基本結(jié)構(gòu)目錄信息收集信息分析結(jié)果處理1/10/202412信息收集目錄>>IDS的基本結(jié)構(gòu)入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，這需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，應(yīng)盡可能擴大檢測范圍，因為從一個源來的信息有可能看不出疑點。入侵檢測很大程度上依賴于收集信息的可靠性和正確性。因此要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當強的堅固性，防止被篡改而收集到錯誤的信息。4之11/10/202413信息來源目錄>>IDS的基本結(jié)構(gòu)系統(tǒng)/網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為4之21/10/202414日志文件目錄>>IDS的基本結(jié)構(gòu)攻擊者常在系統(tǒng)和網(wǎng)絡(luò)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。顯然，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。4之31/10/202415系統(tǒng)目錄和文件的異常變化目錄>>IDS的基本結(jié)構(gòu)網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。4之41/10/202416信息分析目錄>>IDS的基本結(jié)構(gòu)模式匹配統(tǒng)計分析完整性分析1/10/202417模式匹配目錄>>IDS的基本結(jié)構(gòu)>>信息分析模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）。1/10/202418統(tǒng)計分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。1/10/202419完整性分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性。本方法在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。1/10/202420結(jié)果處理目錄>>IDS的基本結(jié)構(gòu)彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap1/10/202421IDS的分類目錄按照分析方法分按照數(shù)據(jù)來源分按系統(tǒng)各模塊的運行方式分根據(jù)時效性分1/10/202422按照分析方法分目錄>>IDS的分類

異常檢測IDS（AnomalyDetection)首先總結(jié)正常操作應(yīng)該具有的特征，當用戶活動與正常行為有重大偏離時即被認為是入侵。

誤用檢測IDS（MisuseDetection)收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。1/10/202423異常檢測模型目錄>>IDS的分類>>按照分析方法分2之1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)異常檢測入侵行為正常行為描述庫規(guī)則不匹配動態(tài)產(chǎn)生新描述動態(tài)更新描述1/10/202424特點目錄>>IDS的分類>>按照分析方法分異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源；漏報率低，誤報率高。2之21/10/202425誤用檢測模型目錄>>IDS的分類>>按照分析方法分2之1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)誤用檢測入侵行為攻擊模式描述庫規(guī)則匹配動態(tài)產(chǎn)生新描述動態(tài)更新描述1/10/202426特點目錄>>IDS的分類>>按照分析方法分2之2誤報率低，漏報率高。攻擊特征的細微變化，會使得誤用檢測無能為力。1/10/202427按照數(shù)據(jù)來源分目錄>>IDS的分類

基于主機的IDS（HIDS）系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機。

基于網(wǎng)絡(luò)的IDS（NIDS）系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡(luò)的運行。

混合型IDS同時使用基于主機的IDS和基于網(wǎng)絡(luò)的IDS，實現(xiàn)兩者優(yōu)勢互補。1/10/202428基于主機的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝于被保護的主機中主要分析主機內(nèi)部活動系統(tǒng)日志應(yīng)用程序日志文件完整性檢查占用一定的系統(tǒng)資源4之11/10/202429工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS4之21/10/202430優(yōu)點目錄>>IDS的分類>>按照數(shù)據(jù)來源分檢測準確度較高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌僮飨到y(tǒng)進行有針對性的檢測；成本較低；不會因網(wǎng)絡(luò)流量影響性能；適合加密和交換環(huán)境。4之31/10/202431缺點目錄>>IDS的分類>>按照數(shù)據(jù)來源分4之4實時性較差；無法檢測數(shù)據(jù)包的全部；檢測效果取決于日志系統(tǒng)；占用主機資源；隱蔽性較差；如果入侵者能夠修改校驗和，這種IDS將無法起到預期的作用。1/10/202432基于網(wǎng)絡(luò)的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝在被保護的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機的負載4之11/10/202433工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分InternetNIDS網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分4之21/10/202434優(yōu)點目錄>>IDS的分類>>按照數(shù)據(jù)來源分可以提供實時的網(wǎng)絡(luò)行為檢測；可以同時保護多臺網(wǎng)絡(luò)主機；具有良好的隱蔽性；有效保護入侵證據(jù)；不影響被保護主機的性能；操作系統(tǒng)無關(guān)性。4之31/10/202435缺點目錄>>IDS的分類>>按照數(shù)據(jù)來源分防入侵欺騙的能力通常較差；在交換式網(wǎng)絡(luò)環(huán)境中難以配置；檢測性能受硬件條件限制；不能處理加密后的數(shù)據(jù)。4之41/10/202436混合型IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分基于主機的IDS和基于網(wǎng)絡(luò)的IDS都有著自身獨到的優(yōu)勢，而且在某些方面是很好的互補?；旌闲虸DS就是采用這兩者結(jié)合的入侵檢測系統(tǒng)，那將是汲取了各自的長處，又彌補了各自的不足的一種優(yōu)化設(shè)計方案。通常這樣的系統(tǒng)一般為分布式結(jié)構(gòu)，由多個部件組成，它能同時分析來自主機系統(tǒng)的審計數(shù)據(jù)及來自網(wǎng)絡(luò)的數(shù)據(jù)通信流量信息。1/10/202437按系統(tǒng)各模塊的運行方式分目錄>>IDS的分類集中式IDS在被保護網(wǎng)絡(luò)的各個網(wǎng)段中分別放置檢測器進行數(shù)據(jù)包的搜集和分析，各個檢測器將檢測信息傳送到中央控制臺進行統(tǒng)一處理，中央控制臺還會向各個檢測器發(fā)送命令。分布式IDS通常采用分布式智能代理的結(jié)構(gòu)，由一個或多個中央智能代理和大量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負責處理本地事件，中央代理負責調(diào)控各個本地代理的工作以及從整體上完成對網(wǎng)絡(luò)事件進行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。1/10/202438根據(jù)時效性分目錄>>IDS的分類脫機分析IDS行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析。聯(lián)機分析IDS在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析。1/10/202439IDS的檢測技術(shù)目錄異常檢測技術(shù)誤用檢測技術(shù)其它檢測技術(shù)1/10/202440異常檢測技術(shù)

—基于行為的檢測目錄>>IDS的檢測技術(shù)統(tǒng)計分析異常檢測貝葉斯推理異常檢測神經(jīng)網(wǎng)絡(luò)異常檢測模式預測異常檢測數(shù)據(jù)挖掘異常檢測機器學習異常檢測1/10/202441統(tǒng)計分析異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)首先對系統(tǒng)或用戶的行為按照一定的時間間隔進行采樣，樣本的內(nèi)容包括每個會話的登錄、退出情況，CPU和內(nèi)存的占用情況，硬盤等存儲介質(zhì)的使用情況等。對每次采集到的樣本進行計算，得出一系列的參數(shù)變量來對這些行為進行描述，從而產(chǎn)生行為輪廓，將每次采樣后得到的行為輪廓與已有輪廓進行合并，最終得到系統(tǒng)和用戶的正常行為輪廓。IDS通過將當前采集到的行為輪廓與正常行為輪廓相比較，從而來檢測網(wǎng)絡(luò)是否被入侵。2之11/10/202442特點目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點所應(yīng)用的技術(shù)方法在統(tǒng)計學中已經(jīng)比較成熟。缺點異常閥值難以確定：閥值設(shè)置得偏低會產(chǎn)生過多的誤檢，偏高會產(chǎn)生過多的漏檢。對事件發(fā)生的次序不敏感：可能會漏檢由先后發(fā)生的幾個關(guān)聯(lián)事件組成的入侵行為。對行為的檢測結(jié)果要么是異常，要么是正常，攻擊者可以利用這個弱點躲避IDS的檢測。2之21/10/202443神經(jīng)網(wǎng)絡(luò)異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)3之1基本思想：用一系列的信息單元（命令）訓練神經(jīng)單元，這樣在給定一組輸入后，就可以預測輸出。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)為：當前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。1/10/202444圖示目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)3之21/10/202445特點目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點不需要對數(shù)據(jù)進行統(tǒng)計假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機性，并且能夠較好地處理干擾數(shù)據(jù)。缺點網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和各元素的權(quán)重難以確定，必須經(jīng)過多次嘗試。W的大小難以確定：設(shè)置的小，則會影響輸出效果；設(shè)置的大，則由于神經(jīng)網(wǎng)絡(luò)要處理過多的無關(guān)數(shù)據(jù)而使效率下降。3之31/10/202446誤用檢測技術(shù)

—基于知識的檢測目錄>>IDS的檢測技術(shù)專家系統(tǒng)誤用檢測特征分析誤用檢測模型推理誤用檢測條件概率誤用檢測鍵盤監(jiān)控誤用檢測1/10/202447專家系統(tǒng)誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)首先將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識表示成一些類似if-then的規(guī)則，并以這些規(guī)則為基礎(chǔ)建立專家知識庫。規(guī)則中的if部分說明形成網(wǎng)絡(luò)入侵的必需條件，then部分說明發(fā)現(xiàn)入侵后要實施的操作。IDS將網(wǎng)絡(luò)行為的審計數(shù)據(jù)事件進行轉(zhuǎn)換，成為包含入侵警告程度的判斷事實，然后通過推理引擎進行入侵檢測，當if中的條件全部滿足或者在一定程度上滿足時，then中的動作就會被執(zhí)行。2之11/10/202448特點目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)需要處理大量的審計數(shù)據(jù)并且依賴于審計追蹤的次序，在目前的條件下處理速度難以保證；對于各種網(wǎng)絡(luò)攻擊行為知識進行規(guī)則化描述的精度有待提高，審計數(shù)據(jù)有時不能提供足夠的檢測所需的信息；專家系統(tǒng)只能檢測出已發(fā)現(xiàn)的入侵行為，要檢測出新的入侵，必須及時添加新的規(guī)則，維護知識庫的工作量很大。2之21/10/202449特征分析誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)在商品化的IDS中本技術(shù)運用較多。特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同的是：特征分析更直接地使用各種入侵知識，它將入侵行為表示成一個事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板，為不進行規(guī)則轉(zhuǎn)換，這樣就可以直接從審計數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需處理大量的數(shù)據(jù)，從而提高了效率。1/10/202450其它檢測技術(shù)目錄>>IDS的檢測技術(shù)遺傳算法免疫技術(shù)1/10/202451遺傳算法目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正常或異常的行為。指令中包含若干字符串，所有的指令在定義初期的檢測能力都很有限，IDS對這些指令逐步地進行訓練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再從新的指令中經(jīng)過測試篩選出檢測能力最強的部分指令，對它們進行下一輪的訓練。如此反復，使檢測指令的檢測能力不斷提高，訓練過程即可結(jié)束，此時這些指令已經(jīng)具備一定的檢測能力，IDS可以使用它們進行網(wǎng)絡(luò)入侵檢測。目前對遺傳算法的研究還處于實驗階段。1/10/202452免疫技術(shù)目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)免疫技術(shù)應(yīng)用了生物學中的免疫系統(tǒng)原理。處于網(wǎng)絡(luò)環(huán)境中的主機之所以受到入侵，是因為主機系統(tǒng)本身以及所運行的應(yīng)用程序存在著各種脆弱性因素，網(wǎng)絡(luò)攻擊者正是利用這些漏洞侵入到主機系統(tǒng)中的；在生物系統(tǒng)中同樣存在著各種脆弱性因素，因此會受到病毒、病菌的攻擊。而生物體擁有免疫系統(tǒng)來負責檢測和抵御入侵，免疫機制包括特異性免疫和非特異性免疫。特異性免疫針對于特定的某種病毒，非特異性免疫可用于檢測和抵制以前從未體驗過的入侵類型。入侵檢測免疫技術(shù)受免疫系統(tǒng)原理的啟發(fā)，通過學習分析已有行為的樣本來獲得識別不符合常規(guī)行為的能力。1/10/202453IDS的設(shè)置目錄IDS是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分。IDS的設(shè)置影響著IDS在整個網(wǎng)絡(luò)安全防御系統(tǒng)中的地位和重要程度。目前大部分的入侵檢測技術(shù)都需要對網(wǎng)絡(luò)數(shù)據(jù)流進行大量的分析運算，在高速網(wǎng)絡(luò)中，一個不經(jīng)過配置的入侵檢測設(shè)備，在不進行篩選和過濾的情況下，無法很好地完成對受保護網(wǎng)絡(luò)的有效檢測。3之11/10/202454IDS的設(shè)置步驟目錄確定入侵檢測需求設(shè)計IDS在網(wǎng)絡(luò)中的拓撲結(jié)構(gòu)配置IDSIDS磨合IDS的使用和自調(diào)節(jié)3之21/10/202455設(shè)置步驟圖示目錄1.確定需求2.設(shè)計拓撲3.配置系統(tǒng)4.磨合調(diào)試5.使用系統(tǒng)確定安全需求完成系統(tǒng)配置實現(xiàn)拓撲磨合達標根據(jù)設(shè)計拓撲改變重新確定需求根據(jù)運行結(jié)果調(diào)整相關(guān)參數(shù)網(wǎng)絡(luò)拓撲變更或安全更新3之31/10/202456IDS的部署目錄基于網(wǎng)絡(luò)IDS的部署基于主機IDS的部署1/10/202457基于網(wǎng)絡(luò)IDS的部署目錄>>IDS的部署基于網(wǎng)絡(luò)的IDS可以在網(wǎng)絡(luò)的多個位置進行部署（這里的部署主要指對網(wǎng)絡(luò)入侵檢測器的部署）。根據(jù)檢測器部署位置的不同，IDS具有不同的工作特點。用戶需要根據(jù)自己的網(wǎng)絡(luò)環(huán)境以及安全需求進行網(wǎng)絡(luò)部署，以達到預定的網(wǎng)絡(luò)安全需求。2之11/10/202458部署位置目錄>>IDS的部署Internet邊界路由器管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)DMZ區(qū)域內(nèi)部工作子網(wǎng)部署一部署二部署三部署四2之21/10/202459部署一：外網(wǎng)入口目錄>>IDS的部署>>部署位置外網(wǎng)入口部署點位于防火墻之前，入侵檢測器在這個部署點可以檢測所有進出防火墻外網(wǎng)口的數(shù)據(jù)，可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進行記錄。2之11/10/202460特點目錄>>IDS的部署>>部署位置優(yōu)點可以對針對目標網(wǎng)絡(luò)的攻擊進行計數(shù)，并記錄最為原始的攻擊數(shù)據(jù)包；可以記錄針對目標網(wǎng)絡(luò)的攻擊類型。缺點由于入侵檢測器本身性能上的局限，該部署點的入侵檢測器目前的效果并不理想；對于進行NAT的內(nèi)部網(wǎng)來說，入侵檢測器不能定位攻擊的源/目的地址，系統(tǒng)管理員在處理攻擊行為上存在一定的困難。2之21/10/202461部署二：內(nèi)網(wǎng)主干目錄>>IDS的部署>>部署位置內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測器主要檢測內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。在這個位置，入侵檢測器可以檢測所有通過防火墻進入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準確地定位攻擊的源和目的，方便系統(tǒng)管理員進行針對性的網(wǎng)絡(luò)管理。2之11/10/202462特點目錄>>IDS的部署>>部署位置優(yōu)點檢測大量的網(wǎng)絡(luò)通信提高了檢測攻擊的識別可能；檢測內(nèi)網(wǎng)可信用戶的越權(quán)行為；實現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的檢測。缺點入侵檢測器不能記錄下所有可能的入侵行為，因為已經(jīng)經(jīng)過防火墻的過濾。2之21/10/202463部署三：DMZ區(qū)目錄>>IDS的部署>>部署位置DMZ區(qū)部署點在DMZ區(qū)的總口上，這是入侵檢測器最常見的部署位置。在這里入侵檢測器可以檢測到所有針對用戶向外提供服務(wù)的服務(wù)器進行攻擊的行為。對于用戶來說，防止對外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于DMZ區(qū)中的各個服務(wù)器提供的服務(wù)有限，所以針對這些對外提供的服務(wù)進行入侵檢測，可以使入侵檢測器發(fā)揮最大的優(yōu)勢，對進出的網(wǎng)絡(luò)數(shù)據(jù)進行分析。由于DMZ區(qū)中的服務(wù)器是外網(wǎng)可見的，因此在這里的入侵檢測也是最為需要的。2之11/10/202464特點目錄>>IDS的部署>>部署位置優(yōu)點檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系；可以容易地檢測網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問題；DMZ區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；即使進入的攻擊行為不可識別，IDS經(jīng)過正確的配置也可以從被攻擊主機的反饋中獲得受到攻擊的信息。2之21/10/202465部署四：關(guān)鍵子網(wǎng)目錄>>IDS的部署>>部署位置在內(nèi)部網(wǎng)中，總有一些子網(wǎng)因為存在關(guān)鍵性數(shù)據(jù)和服務(wù)，需要更嚴格的管理，例如：資產(chǎn)管理子網(wǎng)、財務(wù)子網(wǎng)、員工檔案子網(wǎng)等，這些子網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵子網(wǎng)。通過對這些子網(wǎng)進行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護關(guān)