网络入侵检测技术

任务3　网络入侵检测技术

任务介绍

入侵检测技术是继防火墙、信息加密等传统安全保护方法之后的新一代安全保障技术。它从计算机网络和系统的若干关键点收集信息并进行分析，检查网络是否存在违反安全策略的行为和入侵事件发生，并实时报警。

入侵检测是一种动态监控、预防或抵御系统入侵行为的安全机制，主要通过监控网络、系统的状态和行为以及系统使用情况检测系统用户的越权使用与系统外部入侵者利用系统安全缺陷对入侵系统的企图。它是一种能自动识别系统的异常操作和未授权访问，检测各种已知网络攻击的技术，已成为动态安全工具的主要研究和开发方向。

任务分析

传统的操作系统加固技术和防火墙隔离技术等均为静态安全防御技术，对网络环境下日新月异的攻击手段则缺乏主动反应。与传统预防性安全机制相比，入侵检测是一种事后处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。

由于入侵检测需要的分析数据源仅为记录系统活动轨迹的审计数据，几乎适用于所有计算机系统。入侵检测系统的应用，能使入侵攻击对系统发生危害前即能检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，它能减少入侵攻击造成的损失；在被入侵攻击后，它可收集入侵攻击的相关信息作为防范系统知识加入知识库，增强系统防范能力。

本任务主要学习和训练入侵检测的步骤和基本概念，掌握入侵检测系统设计原理及实施规则。指导学生根据校园网的特点，以小组为单位设计一个完整的入侵检测系统，该入侵检测系统应该集入侵检测、网络管理和网络监视功能于一体，能实时捕获内外网之间传输的所有数据。

任务实施

入侵检测系统分为两部分：收集系统和非系统中的信息，然后对收集到的数据进行分析，并采取相应措施。入侵检测过程分为三个步骤：信息收集、信息分析和结果处理。

子任务1　信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为，需要在计算机网络系统的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围以便对来自不同源的信息进行特征分析后比较得出问题所在。

入侵检测主要依赖收集信息的可靠性和正确性，必须利用所知的、确定未被恶意修改的软件报告这些信息。因为入侵者经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其他工具等。入侵者对系统的修改会导致系统功能失常，但外表与正常无异。例如，UNIX系统的PS指令可被替换为一个不显示侵入过程的指令，或是编辑器被替换成一个读取不同于指定文件的文件。这需要用于检测网络系统的软件必须具有完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集错误信息。入侵检测利用的信息一般来自三个方面（不包括物理形式入侵信息）：

一、系统和网络日志文件

入侵者常在系统日志中留下踪迹，故用户可充分利用系统和网络日志信息。日志包含发生在系统和网络中的不寻常与不期望活动的记录，这些记录反映是否有人正在入侵或已成功入侵了系统。通过查看日志能发现成功的入侵或入侵企图，并快速启动相应的应急响应程序。

日志能记录各种行为类型，每种类型又包含不同信息。例如记录“用户活动”类型的日志就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。对用户来讲，不正常或不期望的行为即重复登录失败、登录到不期望位置与企图非授权访问重要文件等。

二、非正常目录和文件改变

网络环境中的文件系统包含很多软件和数据文件，经常成为入侵者修改或破坏的目标：目录和文件的非正常改变（包括修改、创建和删除），特别是正常情况下限制访问的目录和文件的非正常改变，很可能是入侵产生的指示和信号。入侵者经常替换、修改和破坏影响他们获得访问权的系统文件，且为隐藏他们在系统的表现与活动痕迹，会尽力替换系统程序或修改系统日志。

三、非正常的程序执行

网络系统的程序执行一般包括操作系统、网络服务、用户启动程序和特定目的的应用（例如WEB服务器），每个在系统的执行程序由一到多个进程实现。一个进程的执行行为由它运行时执行的操作实现，操作执行的方式不同决定其利用的系统资源亦不同。操作包括计算、文件传输、设备和其他进程，以及与网络间其他进程之间的通信。

一个进程如出现不期望的行为表明入侵者可能正在入侵系统，入侵者能将程序或服务的运行分解，或以非用户和管理员预期的方式操作，致使系统出现故障。

子任务2　信号分析

对收集到的有关系统、网络、数据及用户活动状态和行为等信息，一般通过模式匹配、统计分析和完整性分析三种技术手段进行分析。前两种方法用于实时入侵检测，第三种方法用于事后分析。具体操作为：

一、模式匹配

模式匹配是将收集到的信息与已知网络入侵和系统已有模式数据库进行比较，以发现违背安全策略的行为。该过程可以简单，如通过字符串匹配以寻找一个简单的条目或指令；也可复杂，如利用正规数学表达式反映安全状态的变化。一般讲，一种进攻模式可用一个过程（如执行一条指令）或一个输出（如获得权限）表示。该方法的主要优点是只需收集相关数据，明显减少系统负担，且技术已相当成熟。它与病毒防火墙的方法一样，检测准确率和效率相当高。该方法的弱点是需要不断升级以对付不断出现的攻击手法，且不能检测到从未出现过的攻击手段。

二、统计分析

统计分析方法与模式匹配有相似之处，即首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值被用来与网络、系统的行为比较，任何观察值超出正常值范围之外时，即认为有入侵发生（例如，原本默认用“GUEST”账号登录，突然用Admin账号登录）。其优点是可检测到未知的入侵和更为复杂的入侵；其缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于热点研究和迅速发展之中。

三、完整性分析

完整性分析主要关注某个文件或对象是否被更改，经常包括文件和目录的内容及属性，它在发现被更改、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别极为微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要成功的攻击导致文件或其他对象的发生改变，它都能及时发现。其缺点为，一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法是网络安全产品的必要手段之一。例如，可以在某日的某个特定时间内开启完整性分析模块，对网络系统进行全面的扫描检查。

子任务3　结果处理

结果处理指控制台按照警告产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可仅为简单的报警。

下面以Windows 2000/XP简单安全入侵检测为例介绍个人计算机的入侵检测设置。（注意：Windows 2000/XP自带强大的安全日志系统，从用户登录到特权使用都有详细记录，但在默认安装下安全审核关闭）。

第一步，打开安全审核。

执行“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”命令，在如图3.28所示的对话框中打开需要的审核。

图3.28　本地安全设置

审核策略确定是否将安全事件记录到计算机的安全日志中，同时确定是否记录登录成功或登录失败，或二者都记录。“审核登录事件”和“审核账户管理”是用户最关心的事件，故应同时打开其成功和失败审核。方法是：双击“审核登录事件”，出现如图3.29所示的对话框，然后选择成功审核或失败审核。

图3.29　审核设置

第二步，查看安全日志。

设置安全日志后应制定一个安全日志检查机制，因为入侵者一般晚上行动，故上午的第一件事应该查看日志是否异常。执行“控制面板”→“管理工具”→“事件查看器”命令，在如图3.30所示的“事件查看器”对话框中可以进行安全日志的查看。

图3.30　事件查看器

除安全日志，应用程序日志和系统日志也是非常好的辅助检测工具。入侵者除在安全日志中留下痕迹，在系统和应用程序日志中也会留下蛛丝马迹。图3.31中就是系统网络连接的一些设置日志。应选择“系统”属性窗口，在“事件来源”下拉列表框中选择eventlog选项，会弹出如图3.32所示的“事件服务已启动”的对话框，对应的时间就是计算机开机或重新启动的时间。

图3.31　网络连接状态事件

图3.32　事件服务已启动

知识拓展

一、入侵检测系统中的相关概念

（1）入侵行为。主要指对系统资源的非授权使用，它可能造成系统数据的丢失和破坏，甚至造成系统拒绝为合法用户服务等后果。

（2）入侵者。入侵者分为两类。一类是外部入侵者（指系统的非法用户即黑客），另一类是内部入侵者（指有越权使用系统资源行为的合法用户）。

（3）滥用。指用户的违规行为。

（4）网络攻击。可能导致网络受到破坏、网络服务受到影响的所有行为均称为攻击。

（5）入侵检测。入侵检测ID（Intrusion Detection）的目标是通过检查操作系统的审计数据或网络数据包信息检测系统中违背安全策略或危及系统安全的行为或活动，保护信息系统的资源不受攻击，防止系统数据的泄露、篡改和破坏。从入侵策略的角度可将入侵检测内容分为试图闯入或成功闯入、冒充其他用户、违反安全策略、合法用户的泄露、独占资源和恶意使用。

（6）入侵检测技术。美国国际计算机安全协会（ICSA）把入侵检测技术定义为，通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。入侵检测是入侵检测系统的核心功能。根据技术可将其分为两类：一类是基于标识的检测，另—类是基于异常的检测。

基于标识的检测技术类似于杀毒软件，首先要定义违背安全策略的事件的特征，如两个数据包的某些包头信息。检测主要判别这类特征是否在所收集到的数据中出现。

基于异常的检测技术则先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，这类数据可以人为定义，也可通过观察系统并用统计的办法得出，然后将系统运行时的数值与所定义的“正常”情况比较，确认是否有被攻击的迹象。这种检测方式的核心在于如何定义“正常”情况。

上述两种检测方法得出的结论存在很大差异：基于异常的检测技术核心是维护一个知识库。对已知的攻击，它能详细、准确报告攻击类型，但对未知攻击却效果有限，且知识库必须不断更新；基于标识的检测技术则无法准确判别攻击的手法，但它能（至少在理论上可以）判别更广泛甚至未知的攻击。

（7）入侵检测系统IDS（Intrution Detection Systems）。是一种能通过分析系统安全相关数据检测入侵活动的系统，也是一种像烟雾探测器一样的探测器，一旦指定的事件发生即触发警报。

（8）远程入侵。即入侵者从无特权开始通过网络远程进入系统，其入侵方式多样。网络入侵检测系统主要关注远程入侵。

（9）软件漏洞。存在于服务器后台程序（Daemons）、客户程序、操作系统、网络协议栈。入侵者之所以能成功侵入系统，是因为软件存在漏洞，而系统管理员和开发人员永远无法发现和解决所有的漏洞。入侵者只要发现一个漏洞就能入侵系统。软件漏洞分为缓冲区溢出（几乎所有的安全漏洞都可归于这一类）、意外结合、未处理的输入、竞争条件等。

典型的入侵检测包括以下5个步骤：

第一步，外部侦查。入侵者会尽力寻找那些并未直接给予他们的资讯，方法是通过公开资讯进行侦查，或伪装成正常使用者进行入侵，用户则难以察觉。

第二步，内部侦查。入侵者使用更具侵略性的技术扫描资讯，他们能从网页找出的CGI Scripts（CGI Scripts通常容易被入侵）中获得任何东西，也会为试探主机的存在而使用ping命令，用UDP/TCP Scan/Strob（扫描）查找目标主机的获取服务，执行一个如rpcinfo、showmount、snmpwalk等工具程序以寻找可获得的资讯。此时入侵者是在进行“正常的”网络行为，并未进行任何被归类为闯入的举动。NIDS也只会告知用户“有人在检查你的大门把手”，入侵者还没有着手打开大门。

第三步，入侵。入侵者违反规矩开始对目标主机进行可能的漏洞入侵。它尝试在一个输入资料里传递一个shell指令，危及CGI Scripts；以传递大量资料的方式侵害一个已知的缓冲区溢出漏洞；检查有无简单可猜甚至没有密码的用户账号等。入侵者常分几个阶段入侵，例如，若入侵者得到一个用户账号，便可能进一步入侵以获得root/admin权限。

第四步，立足。入侵者已通过入侵成功地在用户网络中立足，此时的主要目标是藏匿入侵证据，修改稽核与log档，并确认自己能再次轻松侵入。他们可能安装自己可执行的toolkits，用他们具有后门密码的木马置换原先有服务，或创造一个属于自己的“合法”账户。由于大部分网络难以防御来自内部的侵害，极易利用这个机器作为侵入其他机器的跳板。

第五步，利益。入侵者一旦入侵成功，就会随意窃取机密资料，滥用系统资源或破坏网页。

入侵者通常采取两个步骤进行入侵：一是侦察，即ping扫描。DNS zone转换、E-mail侦察、TCP或UDP端口扫描以及经由公开网页伺服器可能的索引发现CGI漏洞；二是拒绝服务DoS攻击，入侵者试图破坏服务或机器，使网络连接超载、CPU超载、填满硬盘。采取这种攻击手段的入侵者并非想获得资讯，而是阻碍用户使用机器。

二、入侵检测系统

入侵检测系统是一种能通过分析系统安全相关数据检测入侵活动的系统。所有入侵检测系统的功能结构基本一致，均由数据采集、数据分析与用户界面等几个功能模块组成，只是具体入侵检测系统在分析数据的方法、采集数据与采集数据的类型等方面有所不同。

（一）入侵检测系统的工作模式

入侵检测系统的工作模式体现为四个步骤：一是，从系统的不同环节收集信息；二是，分析信息，试图找到入侵活动的特征；三是，自动对检测到的行为做出响应；四是，记录并报告检测过程及结果。

（二）入侵检测系统需维护的信息

面对入侵技术、手段持续变化的状况，入侵检测系统（IDS）必须能维护与检测系统的分析技术相关信息，以使检测系统能确保检测出对系统具有威胁的恶意事件。这类信息一般包括：

（1） 系统、用户以及进程行为正常或异常的特征轮廓。

（2） 标识可疑事件的字符串，包括关于已知攻击和入侵的特征签名。

（3） 激活针对各种系统异常情况以及攻击行为采取响应所需的信息。这些信息以安全的方式提供给用户的IDS系统，有些信息还需要定期升级。

（三）入侵检测系统的主要功能

与其他网络信息安全系统不同的是，入侵检测系统需要更多的智能，它必须对得到的数据进行分析，并得出有用结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全运行。入侵检测系统的主要功能有以下六点：

（1） 监测并分析用户和系统的活动。

（2） 审计系统配置中存在的弱点和错误配置（如漏洞等）。

（3） 评估系统关键资源和数据文件的完整性。

（4） 识别系统活动中存在的已知攻击模式。

（5） 统计分析异常行为。

（6） 对操作系统进行日志管理，并识别违反安全策略的用户活动。

（四）入侵检测系统的特点

一个完善的入侵检测系统必须具有下列特点：

（1） 经济性。为保证系统安全策略的实施而引入的入侵检测系统必须保证不会妨碍系统的正常运行，如系统性能等。

（2） 时效性。必须能及时发现各种入侵行为，应该在事前发现攻击企图，但目前情况则是在攻击行为发生过程中检测到。如事后才发现攻击结果，必须保证时效性，因为一个已被攻击过的系统仍面临后续的攻击行为。时效性可避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。

（3） 安全性。入侵检测系统自身必须安全。如入侵检测系统自身安全性得不到保障，则入侵检测系统提供信息的可靠性差，甚至已让入侵者控制了入侵检测系统，即获得对系统的控制权。因为正常情况下入侵检测系统均以特权状态运行。

（4） 可拓展性。可拓展性具有两方面含义：一是，机制与数据的分离。在现有机制不变的前提下能对新的攻击进行检测。例如使用特征码表示攻击特性；二是，体系结构的可扩充性。即实现无需改变系统的整体结构而根据需要增加新的检测手段，从而保证检测到新的攻击。

三、入侵检测系统的分类

业界研究入侵检测系统的方法和思路非常丰富，目前已有许多种入侵检测系统。根据不同标准，可从下面几个角度对入侵检测系统分类：

（一）根据检测方法，可分为基于行为的入侵检测系统和基于入侵知识的入侵检测系统

基于行为的入侵检测系统（也称异常性检测）利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据，如通过流量统计分析将异常时间的异常网络流量视为可疑；基于入侵知识的入侵检测系统（也称滥用检测）则根据已知入侵攻击的信息（知识、模式等）检测入侵和攻击。

（二）根据目标系统的类型，可分为基于主机的入侵检测系统和基于网络的入侵检测系统

基于主机的入侵检测系统适用于主机环境；基于网络的入侵检测系统则适用于网络环境。

（三）根据入侵检测系统的分析数据来源，可分为基于不同分析数据源的入侵检测系统

入侵检测系统的分析数据可以是主机系统的审计（系统日志）、网络数据包、应用程序的日志与其他入侵检测系统的报警信息等。

（四）根据检测系统对入侵攻击的响应方式，可分为主动入侵检测系统和被动入侵检测系统

主动入侵检测系统（又称为实时入侵检测系统）在检测出入侵后，可自动对目标系统的漏洞采取修补、强制可疑用户（可能的入侵者）退出系统及关闭相关服务等对策和相应措施；被动入侵检测系统（又称为事后入侵检测系统）在检测出对系统的入侵攻击后只产生报警信息，处理工作则由系统管理员完成。

（五）根据系统模块运行的分布方式，可分为集中式入侵检测系统和分布式入侵检测系统

集中式入侵检测系统的各模块包括数据的收集、分析与响应均集中在同台主机运行。这种方式适用于网络环境比较简单的情况；分布式入侵检测系统的各模块分布在网络中不同的计算机设备上。一般来说，分布性主要体现在数据收集模块上，如网络环境复杂、数据量比较大，则数据分析模块也会分布，并按照层次性的原则组织。

（六）根据入侵检测系统的工作方式，可分为离线检测系统和在线检测系统

离线检测系统是非实时工作系统，它在事后分析审计事件，从中检查入侵活动。在线检测系统是实时联机的检测系统，包含对实时网络数据包分析与实时主机审计分析。

入侵检测系统主要采用基于攻击特征的模式匹配法和基于行为的统计分析法。这两种方法的优缺点各异：模式匹配法主要适用于对已知攻击方法的检测。它通过分析攻击的原理和过程，提取有关特征，建立攻击特征库，对截获的数据进行分析和模式匹配。其优点是识别准确，误报率低。但对未知的攻击方法则无能为力，且当新的攻击方法出现时还需及时更新特征库。基于行为的统计分析法对未知攻击和可疑活动有一定的识别能力，但误报率高。目前优秀的入侵检测系统一般会综合运用上述两种检测方法。

各种分类方法体现了对入侵检测系统理解的不同侧面，但入侵检测的核心在于数据分析模块。目前众多入侵检测系统和技术均根据检测方法、目标系统、信息数据源设计。

四、典型的入侵检测方法

世界上采用过的异常入侵检测方法主要有九种：即统计异常检测、基于特征选择异常检测、基于神经网络异常检测、基于贝叶斯聚类异常检测、基于贝叶斯推理异常检测、基于机器学习异常检测、基于贝叶斯网络异常检测、基于数据挖掘异常检测、基于模式预测异常检测。

常见的异常入侵检测模型主要有三种：

（一）统计异常检测模型

统计异常检测模型根据异常检测器观察主体的活动，然后产生刻画这些活动的行为轮廓。每—个轮廓保存记录主体的当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓，通过比较当前轮廓与统计轮廓判定是否存在异常行为入侵。

（二）基于特征选择异常检测方法

对异常入侵行为检测的困难主要是如何准确地在异常活动和入侵活动之间做出判断。基于特征选择异常检测方法，通过从一组度量中挑选能检测出入侵的度量构成子集以实现准确预测。

（三）基于神经网络异常检测方法

基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令。网络的输入层使用当前输入的命令和已执行过的w个命令，用户执行过的命令被神经网络用来预测用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。使用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，表明有异常事件发生，以此能进行异常入侵检测。

五、基于网络的IDS和基于主机的IDS比较

（一）基于网络的入侵检测系统（NIDS）

基于网络的入侵检测系统（NIDS）使用原始网络包作为数据源。基于网络的入侵检测系统（NIDS）通常利用一个运行在混合模式下的网络适配器实时监视并分析通过网络的所有通信业务。系统获取的数据是网络传输的数据包，保护的是网络的运行。

基于网络的入侵检测系统（NIDS）有许多仅靠主机的入侵检测法无法提供的优点。实际上，许多客户在最初使用IDS时，都配置了基于网络的入侵检测，因为它成本较低、反应速度快。基于网络的入侵检测（NIDS）成为安全策略实施重要组件的主要原因为：

（1） 拥有成本较低。基于网络的入侵检测（NIDS）可在几个关键访问点上进行策略配置，以观察发往多个系统的网络通信。它不要求在许多主机上装载并管理软件。由于需要监测的点较少，故对一个企业或单位的环境来说，拥有成本较低。

（2） 检测基于主机的系统漏掉攻击。基于网络的IDS检查所有数据包的头部，从而发现恶意和可疑的行动迹象。基于主机的IDS无法查看数据包的头部，即无法检测到这一类型的攻击。例如，许多来自IP地址的拒绝服务型（DoS）和碎片包型（Teardrop）的攻击只能在其经过网络并检查数据包的头部才能发现。这种类型的攻击均可在基于网络的系统中通过实时监测发现。

基于网络的IDS可以检查有效负荷的内容，查找用于特定攻击的指令或语法。例如，通过检查数据包有效负载可以查到黑客软件，而正在寻找系统漏洞的攻击者却毫无察觉。

（3） 攻击者不易转移证据。基于网络的IDS使用正在发生的网络通信进行实时攻击的检测，使攻击者无法转移证据。被捕获的数据不仅包括攻击方法，还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录，知道如何操作这些文件掩盖其作案痕迹，如何阻止需要这些信息的基于主机的系统检测入侵。

（4） 实时检测和响应。基于网络的IDS可在恶意及可疑的攻击发生同时将其检测出，并作出更快的通知和响应。例如，一个基于TCP的对网络进行的拒绝服务攻击（DoS）能通过基于网络的IDS发出TCP复位信号，在该攻击对目标主机造成破坏前将其中断；而基于主机的系统只有在可疑登录信息被记录后才能识别攻击并作出反应——而这时的关键系统早已遭到破坏，或运行基于主机的IDS系统已被摧毁。实时通知时可根据预先定义的参数作出快速响应，包括将攻击设为监视模式以收集信息、立即中止攻击等。

（5） 检测未成功的攻击和不良意图。基于网络的IDS增加许多有价值的数据，以判别不良意图。即便防火墙正在拒绝这些尝试，位于防火墙之外的基于网络的IDS仍能查出躲在防火墙后的攻击意图；基于主机的系统无法查到从未攻击到防火墙内主机的未遂攻击，而这些丢失的信息对评估和优化安全策略至关重要。

（6） 操作系统无关性。基于网络的IDS作为安全监测资源，与主机操作系统无关；基于主机的系统则必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。

总之，基于网络的IDS主要优点是：隐蔽性好、能实时检测和响应、攻击者不易转移证据、不影响业务系统、能检测未成功的攻击企图。

基于网络的IDS主要缺点是：只检测直接连接网络的通信，不能检测不同网段的网络包；交换以太网环境中会出现检测范围局限；很难实现一些复杂的、需要大量计算与分析时间的攻击检测；处理加密的会话过程比较困难。

（二）基于主机的入侵检测系统（HIDS）

基于主机的入侵检测系统（HIDS）通常安装在被重点检测的主机上，也称软件检测系统，主要对该主机的网络实时连接与系统审计日志进行智能分析和判断。如果主体活动十分可疑（特征或违反统计规律），入侵检测系统即采取相应措施。

尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确实具有基于网络系统无法比拟的优点：更好的辨识分析、对特殊主机事件的紧密关注及低廉的成本。基于主机的入侵检测系统的主要优点为：

（1） 确定攻击是否成功。基于主机的IDS使用含有已发生的事件信息，比基于网络的IDS更加准确地判断攻击是否成功。由此，基于主机的IDS是基于网络的IDS的完美补充，网络部分能尽早提供警告，主机部分可确定攻击成功与否。

（2） 监视特定的系统活动。基于主机的IDS监视用户和访问文件的活动，包括文件访问，改变文件权限，试图建立新的可执行性文件，或试图访问特殊设备。例如，基于主机的IDS能监督所有用户的登录与下网情况及每位用户连接到网络后的行为。基于网路的入侵检测系统则难以达到这个程度。

基于主机的系统技术能监视只有管理员才能实施的非正常行为。操作系统能记录任何有关用户账号的增加、删除、更改情况，一旦发生非授权改动，基于主机的IDS即能检测到。基于主机的IDS还可审计能影响系统记录的校验措施改变。

基于主机的系统能监视主要系统文件和可执行文件的改变，能查出那些欲改写重要系统文件或安装特洛伊木马或后门的尝试，并将其中断。而基于网络的系统难以查到这些行为。

（3） 能检查到基于网络的系统检查不出的攻击。基于主机的系统能检测到那些基于网络的系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，便能躲开基于网络的入侵检测系统。

（4） 适用于被加密和交换的环境。基于主机的系统安装在遍布企业的各种主机上，它们比基于网络的入侵检测系统更适于交换与加密的环境。

（5） 近于实时的检测和响应。尽管基于主机的入侵检测系统不能提供真正实时的反应，但若应用正确，反应速度能非常接近实时。老式系统利用一个进程在预先定义的间隔内检查登记文件的状态和内容，与老式系统不同的基于主机的系统的中断指令等新的记录可被立即处理，明显减少从攻击验证到做出响应的时间。从操作系统做出记录到基于主机的系统得到辨识结果之间有一段时间延迟，多数情况是，破坏发生之前系统即发现入侵者并中止其攻击。

（6） 不要求额外的硬件设备。基于主机的入侵检测系统存在于现行网络结构之中，包括文件服务器、Web服务器及其他共享资源，这使基于主机的系统效率很高。因为它们不需要在网络上另外安装登记。

（7） 记录花费更加低廉。尽管基于网络的入侵检测系统能迅速提供广泛覆盖，但其价格昂贵，而基于主机的入侵检测系统则费用较低。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己设计的方案进行自查，总结成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的规划报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标

项目总结

本项目中主要从系统平台安全保障、操作系统漏洞与病毒防范以及网络入侵检测技术三个方面出发，讲述了保证电子商务服务器安全的方法，系统安全平台保障任务中分成防火墙及IIS服务器设置两个子任务，操作系统漏洞与病毒防范任务细分成漏洞的检测及不同类型病毒的防治四个子任务，通过本项目的学习，学生能够从技术角度出发，利用各种软件和硬件，各种技巧和方法来管理整个服务器，杀毒软件、防火墙及入侵检测技术三管齐下力保电子商务服务器的安全。

思考与训练

一、选择题

1. 下面关于QQ密码防盗的建议，描述错误的是（　）。

A. 申请密码保护

B. 密码的位数最好包含数字、字母、符号，保证复杂性。

C.QQ中填写真实的年龄、E-mail等信息，一旦密码被盗，可以通过这些信息找回。

D. 不要随意运行别人发送的文件以及登录陌生的网站。

2. 数据在存储或传输时不被修改、破坏，或数据包的丢失、乱序等指的是（　）。

A. 数据完整性　　B. 数据一致性　　C. 数据同步性　　D. 数据源发性

3. 能修改系统引导扇区，在计算机系统启动时首先取得控制权属于（　）。

A. 文件病毒　　B. 引导型病毒　　C. 混合型病毒　　D. 恶意代码

4. 在计算机病毒流行的今天，为了避免机器感染病毒，在使用网络时需要注意的是（　）。

A. 到网上下载一个杀毒软件就可以防止病毒

B. 不要在网上和编写过病毒的人聊天

C. 不要去下载并执行自己不能确定是否“干净”的程序

D. 最好每次上网之后用肥皂把键盘和鼠标清洗干净

5. 不属于常见的危险密码是（　）。

A. 跟用户名相同的密码　　B. 使用生日作为密码

C. 只有4位数的密码　　D.10位的综合型密码

6. 不属于计算机病毒防治的策略的是（　）。

A. 确认您手头常备一张真正“干净”的引导盘

B. 及时、可靠升级反病毒产品

C. 新购置的计算机软件也要进行病毒检测

D. 整理磁盘

7. 入侵检测是一门新兴的安全技术，是继（　）之后的第二层安全防护措施。

A. 路由器　　B. 防火墙　　C. 交换机　　D. 服务器

8. （　）的目的是发现目标系统中存在的安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。

A. 漏洞分析　　B. 入侵检测　　C. 安全评估

9. 以下哪种说法是防范恶意代码的正确描述？（　）

A. 及时更新系统，修补安全漏洞　　B. 设置安全策略，限制脚本

C. 启用防火墙，过滤不必要的服务　　D. 以上都正确

10. 以下哪种是关于防火墙设计原则的正确说法？（　）

A. 保持设计的简单性

B. 不单单要提供防火墙的功能，还要尽量使用较大的组件

C. 保留尽可能多的服务和守护进程，从而能提供更多的网络服务

D. 一套防火墙就可以保护全部的网络

11. 以下哪一项不属于入侵检测系统的功能？（　）

A. 监视网络上的通信数据流　　B. 捕捉可疑的网络活动

C. 提供安全审计报告　　D. 过滤非法的数据包

12. 入侵检测系统的第一步是（　）。

A. 信号分析　　B. 信息收集　　C. 数据包过滤　　D. 数据包检查

13. 以下关于计算机病毒的特征说法正确的是（　）。

A. 计算机病毒只有破坏性，没有其他特征

B. 计算机病毒有破坏性，没有传染性

C. 破坏性和传染性是计算机病毒两大特征

D. 计算机病毒只有传染性，没有破坏性

二、简答题

1.“有了防火墙，内部网络应该是安全的，而来自外部的访问则是可疑的”，这种说法正确吗？为什么？

2.IIS高性能服务器安全设置的重要性是什么？

3. 为什么在校园网或企业网与外网之间安装了防火墙，内部主机也安装了防病毒软件和个人防火墙，但受攻击的现象依然存在，而且道高一尺，魔高一丈呢？有什么解决办法？

4. 入侵检测系统可以代替防火墙吗？

5. 请比较目前常用的几种网络版杀毒软件的优势与弊端各是什么？

6. 请分析解答计算机病毒与计算机网络病毒之间的主要区别在哪里？