入侵檢測方法主要優(yōu)缺點是什么(簡述入侵檢測常用的四種方法)

1.簡述入侵檢測常用的四種方法

1）特征檢測 特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。

當(dāng)被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。

其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報檢測的準(zhǔn)確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。 2）統(tǒng)計檢測 統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。

統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

3）專家系統(tǒng) 用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。

專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。

在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

4）文件完整性檢查 文件完整性檢查系統(tǒng)檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數(shù)字文摘通過Hash函數(shù)計算得到。不管文件長度如何，它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字。

與加密算法不同，Hash算法是一個不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。

從而，當(dāng)文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

2.入侵檢測技術(shù)分哪幾類

分為特征檢測和異常檢測。

特征檢測（Signature-based detection）又稱Misuse detection，這一檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。

其難點在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來。異常檢測（Anomalydetection）的假設(shè)是入侵者活動異常于正常主體的活動。

根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

3.簡答題 什么是入侵檢測系統(tǒng),主要功能有哪些

入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。

入侵檢測是檢測和響應(yīng)計算機誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。 三部分：信息收集、信息分析和結(jié)果處理。

（1）信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

（2）信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。

（3）結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。

4.比較基本網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)的優(yōu)缺點.

話劫持以及拒絕服務(wù)攻擊（DoS）都象瘟疫一般影響著無線局域網(wǎng)的安全。

無線網(wǎng)絡(luò)不但因為基于傳統(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于電氣和電子工程師協(xié)會 （IEEE） 發(fā)行802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。為了更好的檢測和防御這些潛在的威脅，無線局域網(wǎng)也使用了一種入侵檢測系統(tǒng)（IDS）來解決這個問題。

以至于沒有配置入侵檢測系統(tǒng)的組織機構(gòu)也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什么需要無線入侵檢測系統(tǒng)，無線入侵檢測系統(tǒng)的優(yōu)缺點等問題。

來自無線局域網(wǎng)的安全 無線局域網(wǎng)容易受到各種各樣的威脅。象802.11標(biāo)準(zhǔn)的加密方法和有線 對等保密（Wired Equivalent Privacy）都很脆弱。

在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用于無線局域網(wǎng)中，黑客也能通過解密得到關(guān)鍵數(shù)據(jù)。

黑客通過欺騙（rogue）WAP得到關(guān)鍵數(shù)據(jù)。無線局域網(wǎng)的用戶在不知情的情況下，以為自己通過很好的信號連入無線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。

隨著低成本和易于配置造成了現(xiàn)在的無線局域網(wǎng)的流行，許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無線基站（WAPs），隨之而來的一些用戶在網(wǎng)絡(luò)上安裝的后門程序，也造成了對黑客開放的不利環(huán)境。這正是沒有配置入侵檢測系統(tǒng)的組織機構(gòu)開始考慮配置IDS的解決方案的原因。

或許架設(shè)無線基站的傳統(tǒng)局域網(wǎng)用戶也同樣面臨著遭到黑客的監(jiān)聽的威脅。 基于802.11標(biāo)準(zhǔn)的網(wǎng)絡(luò)還有可能遭到拒絕服務(wù)攻擊（DoS）的威脅，從而使得無線局域網(wǎng)難于工作。

無線通訊由于受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建筑物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基于802.11標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)。

黑客通過無線基站發(fā)起的惡意的拒絕服務(wù)攻擊（DoS）會造成系統(tǒng)重起。另外，黑客還能通過上文提到的欺騙WAP發(fā)送非法請求來干擾正常用戶使用無線局域網(wǎng)。

另外一種威脅無線局域網(wǎng)的是ever-increasing pace。這種威脅確實存在，并可能導(dǎo)致大范圍地破壞，這也正是讓802.11標(biāo)準(zhǔn)越來越流行的原因。

對于這種攻擊，現(xiàn)在暫時還沒有好的防御方法，但我們會在將來提出一個更好的解決方案。 入侵檢測 入侵檢測系統(tǒng)（IDS）通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件。

傳統(tǒng)的入侵檢測系統(tǒng)僅能檢測和對破壞系統(tǒng)作出反應(yīng)。如今，入侵檢測系統(tǒng)已用于無線局域網(wǎng)，來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進(jìn)行報警。

無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似。但無線入侵檢測系統(tǒng)加入了一些無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。

無線入侵檢測系統(tǒng)可以通過提供商來購買，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能，他們同時還提供無線入侵檢測系統(tǒng)的解決方案。如今，在市面上的流行的無線入侵檢測系統(tǒng)是Airdefense RogueWatch 和Airdefense Guard。

象一些無線入侵檢測系統(tǒng)也得到了Linux 系統(tǒng)的支持。例如：自由軟件開放源代碼組織的Snort-Wireless 和WIDZ 。

架構(gòu) 無線入侵檢測系統(tǒng)用于集中式和分散式兩種。集中式無線入侵檢測系統(tǒng)通常用于連接單獨的sensors ，搜集數(shù)據(jù)并轉(zhuǎn)發(fā)到存儲和處理數(shù)據(jù)的中央系統(tǒng)中。

分散式無線入侵檢測系統(tǒng)通常包括多種設(shè)備來完成IDS的處理和報告功能。分散式無線入侵檢測系統(tǒng)比較適合較小規(guī)模的無線局域網(wǎng)，因為它價格便宜和易于管理。

當(dāng)過多的sensors需要時有著數(shù)據(jù)處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統(tǒng)花費更多的時間。

無線局域網(wǎng)通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站（WAPs），在無線基站的位置上部署sensors，這樣會提高信號的覆蓋范圍。

由于這種物理架構(gòu)，大多數(shù)的黑客行為將被檢測到。另外的好處就是加強了同無線基站（WAPs）的距離，從而，能更好地定位黑客的詳細(xì)地理位置。

物理回應(yīng) 物理定位是無線入侵檢測系統(tǒng)的一個重要的部分。針對802.11 的攻擊經(jīng)常在接近下很快地執(zhí)行，因此對攻擊的回應(yīng)就是必然的了，象一些入侵檢測系統(tǒng)的一些行為封鎖非法的IP。

就需要部署找出入侵者的IP，而且，一定要及時。不同于傳統(tǒng)的局域網(wǎng)，黑客可以攻擊的遠(yuǎn)程網(wǎng)絡(luò)，無線局域網(wǎng)的入侵者就在本地。

通過無線入侵檢測系統(tǒng)就可以估算出入侵者的物理地址。通過802.11的sensor 數(shù)據(jù)分析找出受害者的，就可以更容易定位入侵者的地址。

一旦確定攻擊者的目標(biāo)縮小，特別反映小組就拿出Kismet或Airopeek根據(jù)入侵檢測系統(tǒng)提供的線索來迅速找出入侵者， 策略執(zhí)行 無線入侵檢測系統(tǒng)不但能找出入侵者，它還能加強策略。通過使用強有力的策略，會使無線局域網(wǎng)更安全。

威脅檢測 無線入侵檢測系統(tǒng)不但能檢測出攻擊者的行為，還能檢測到rogue WAPS，識別出未加密的802.11標(biāo)準(zhǔn)的數(shù)據(jù)流量。 為了更好的發(fā)現(xiàn)潛在的 WAP 目標(biāo)，黑客通常使用掃描軟件。

Netstumbler 和Kismet這樣的軟件來。使用全球衛(wèi)星定位系統(tǒng)（Global 。

5.入侵檢測技術(shù)的方法

方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)。

入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：

1.監(jiān)視、分析用戶及系統(tǒng)活動；

2.系統(tǒng)構(gòu)造和弱點的審計；

3.識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；

4.異常行為模式的統(tǒng)計分析；

5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6.操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。