入侵檢測術語全接觸

[摘要] 隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。

　　隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。 Alerts（警報） 　　

當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程控制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。 Anomaly（異常） 　　

當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。

Appliance（IDS硬體） 　　

除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統，它的URL地址是http://www.whitehats.com/ids/ ARIS：Attack Registry & Intelligence Service（攻擊事件註冊及智能服務） ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是http://aris.securityfocus.com/

Attacks（攻擊）

Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：

●攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩衝區溢出、通過洪流（flooding）耗盡系統資源等等。

●攻擊類型2－DDOS（Distributed Denial of Service，分散式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。

●攻擊類型3－Smurf：這是一種老式的攻擊，但目前還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。以下是10大smurf放大器的參考資料URL：http://www.powertech.no/smurf/。

●攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程控制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。

Automated Response（自動響應） 　　

除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標準IP棧需求。

CERT（Computer Emergency Response Team，計算機應急響應小組） 　　

這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。現在許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。

CIDF（Common Intrusion Detection Framework；通用入侵檢測框架）

CIDF力圖在某種程度上將入侵檢測標準化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。CIDF的URL地址是：http://www.isi.edu/gost/cidf/。

CIRT（Computer Incident Response Team，計算機事件響應小組）

CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。

CISL（Common Intrusion Specification Language，通用入侵規範語言）

CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標準化的嘗試，因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。

CVE（Common Vulnerabilities and Exposures，通用漏洞披露） 　　

http://cve.mitre.org/。

Crafting Packets（自定義數據包） 　　

建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。製作自定義數據包的一個可用程序Nemesis，它的URL地址是：http://jeff.chi.wwti.com/nemesis/。

Desynchronization（同步失效）

desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，現在已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。

Eleet 　　

當黑客編寫漏洞開發程序時，他們通常會留下一個簽名，其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字，它就是31337，而當它是指他們的能力時，elite=eleet，表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是「skillz」。

Enumeration（列舉） 　　

經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會儘可能地悄悄進行。 Evasion（躲避）

Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。

Exploits（漏洞利用） 　　

對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或教本。 　　對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會編寫出漏洞利用程序。 　　

漏洞利用：Zero Day Exploit（零時間漏洞利用） 　　

零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。

False Negatives（漏報） 　　

漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。

False Positives（誤報） 　　

誤報是指實際無害的事件卻被IDS檢測為攻擊事件。

Firewalls（防火牆） 　　

防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標準，如源地址、埠等，將危險連接阻擋在外。 FIRST（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）

FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視，它的URL地址是：http://www.first.org/。

Fragmentation（分片） 　　

如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。

例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。

Heuristics（啟發）

Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入數據進行分析的IDS還很少很少。

Honeynet Project（Honeynet工程）

Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵信息就會被捕獲並接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。

Honeypot（蜜罐） 　　

蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。 　　蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。

IDS Categories（IDS分類） 　　

有許多不同類型的IDS，以下分別列出：

●IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。

●IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分散式IDS代理需要向中心控制台報告信息。現在的許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。

●IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，最近出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。 ●IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。

●IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。現在，基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。

●IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。

●IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是近來它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。 ●IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會防礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。

●IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。

●IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。

IDWG（Intrusion Detection Working Group，入侵檢測工作組） 　　

入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。 IDWG的URL地址是：http://www.ietf.org/html.charters/idwg-charter.html。 IETF的URL地址是：http://www.ietf.org/。

Incident Handling（事件處理） 　　

檢測到一個入侵只是開始。更普遍的情況是，控制台操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。

Incident Response（事件響應） 　　

對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程序進行處理。 Islanding（孤島） 　　

孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。

Promiscuous（混雜模式） 　　

默認狀態下，IDS網路介面只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）埠。 Routers（路由器） 　　

路由器是用來連接不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。

Scanners（掃描器） 　　

掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。

●掃描器種類1－Network Scanners（網路掃描器）：網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的操作系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。

●掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。

●掃描器種類3－Host Vulnerability Scanners（主機漏洞掃描器）：這類工具就像個有特權的用戶，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網路IDS，特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠程Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS資料庫掃描器，會掃描資料庫中的漏洞。

Script Kiddies（腳本小子） 　　

有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。 Shunning（躲避） 　　

躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。

Signatures（特徵）

IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標準，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。

Stealth（隱藏） 　　

隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應。

什麼是IDS

[摘要] IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，儘可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，儘可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。 　　

我們做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 　　

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這裡，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質衝突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： 　　

（1）儘可能靠近攻擊源 　　

（2）儘可能靠近受保護資源 　　

這些位置通常是：

·伺服器區域的交換機上 ·

Internet接入路由器之後的第一台交換機上 ·

重點保護網段的區域網交換機上 　　

防火牆和IDS可以分開操作，IDS是個臨控系統，可以自行選擇合適的，或是符合需求的，比如發現規則或監控不完善，可以更改設置及規則，或是重新設置！

IDS的體系結構

[摘要] IDS在結構上可劃分為數據收集和數據分析兩部分。

IDS在結構上可劃分為數據收集和數據分析兩部分。 　　

一、 數據收集機制 　　數據收集機制在IDS中佔據著舉足輕重的位置。如果收集的數據時延較大，檢測就會失去作用；如果數據不完整，系統的檢測能力就會下降；如果由於錯誤或入侵者的行為致使收集的數據不正確，IDS就會無法檢測某些入侵，給用戶以安全的假象。

1． 分散式與集中式數據收集機制 　　

分散式數據收集：檢測系統收集的數據來自一些固定位置而且與受監視的網元數量無關。 　集中式數據收集：檢測系統收集的數據來自一些與受監視的網元數量有一定比例關係的位置。 集中式和分散式數據收集方式的區別通常是衡量IDS數據收集能力的標誌，它們幾乎以相同的比例應用於當前的IDS產品中。據專家預言，分散式數據收集機制在若干年後將會佔有優勢。 2． 直接監控和間接監控 　　

如果IDS從它所監控的對象處直接獲得數據，則稱為直接監控；反之，如果IDS依賴一個單獨的進程或工具獲得數據，則稱為間接監控。 　　就檢測入侵行為而言，直接監控要優於間接監控，由於直接監控操作的複雜性，目前的IDS產品中只有不足20%使用了直接監控機制。 3． 基於主機的數據收集和基於網路的數據收集 　　

基於主機的數據收集是從所監控的主機上獲取的數據; 基於網路的數據收集是通過被監視網路中的數據流獲得數據。 　　

總體而言，基於主機的數據收集要優於基於網路的數據收集。

4． 外部探測器和內部探測器 　　

外部探測器是負責監測主機中某個組件（硬體或軟體）的軟體。它將向IDS提供所需的數據，這些操作是通過獨立於系統的其他代碼來實施的。 　　

內部探測器是負責監測主機中某個組件（硬體或軟體）的軟體。它將向IDS提供所需的數據，這些操作是通過該組件的代碼來實施的。 　　

外部探測器和內部探測器在用於數據收集時各有利弊，可以綜合使用。 　　

由於內部探測器實現起來的難度較大，所以在現有的IDS產品中，只有很少的一部分採用它。

二、 數據分析機制 　　

根據IDS如何處理數據，可以將IDS分為分散式IDS和集中式IDS。 　　

分散式IDS：在一些與受監視組件相應的位置對數據進行分析的IDS。 　　

集中式IDS：在一些固定且不受監視組件數量限制的位置對數據進行分析的IDS。 　　

請注意這些定義是基於受監視組件的數量而不是主機的數量，所以如果在系統中的不同組件中進行數據分析，除了安裝集中式IDS外，有可能在一個主機中安裝分散式數據分析的IDS。分散式和集中式IDS都可以使用基於主機、基於網路或兩者兼備的數據收集方式。 　　

可擴容性 IDS的組件數量被限定，當被監視主機的數量增加時，需要更多的計算和存儲資源處理新增的負載。 分散式系統可以通過增加組件的數量來監視更多的主機，但擴容將會受到新增組件之間需要相互通信的制約。 　　

平緩地降低服務等級 如果有一個分析組件停止了工作，一部分程序和主機就不再被監視，但整個IDS仍在繼續工作。 如果有一個分析組件停止了工作，整個IDS就有可能停止工作。 　動態地重新配置 使用很少的組件來分析所有的數據，如果重新配置它們需要重新啟動IDS。 很容易進行重新配置，不會影響剩餘部分的性能。 　　

由於分散式不易實現，目前的IDS產品多是集中式的。 　　

三、 縮短數據收集與數據分析的距離 　　

在實際操作過程中，數據收集和數據分析通常被劃分成兩個步驟，在不同的時間甚至是不同的地點進行。但這一分離存在著缺點，在實際使用過程中，數據收集與數據分析功能之間應盡量縮短距離。

IPS：侵入保護（阻止）系統

[摘要] 侵入保護（阻止）系統（IPS）是新一代的侵入檢測系統（IDS），可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、衝擊、方向和適當的分析，然後將合適的信息和命令傳送給防火牆、交換機和其它的網路設備以減輕該事件的風險。 [關鍵字] IPS 侵入保護系統

侵入保護（阻止）系統（IPS）是新一代的侵入檢測系統（IDS），可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、衝擊、方向和適當的分析，然後將合適的信息和命令傳送給防火牆、交換機和其它的網路設備以減輕該事件的風險。 IPS 的關鍵技術成份包括所合併的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟體和支持全球訪問並用於管理 IPS 的控制台。如同 IDS 中一樣，IPS 中也需要降低假陽性或假陰性，它通常使用更為先進的侵入檢測技術，如試探式掃描、內容檢查、狀態和行為分析，同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。 　　

同侵入檢測系統（IDS）一樣，IPS 系統分為基於主機和網路兩種類型。 　　

基於主機 IPS 　　

基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起，監視並截取對內核或 API 的系統調用，以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境（如網頁伺服器的文件位置和註冊條目），以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。 　　

基於網路的 IPS 　　

基於網路的 IPS 綜合了標準 IDS 的功能，IDS 是 IPS 與防火牆的混合體，並可被稱為嵌入式 IDS 或網關 IDS（GIDS）。基於網路的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率，必須採用強迫信息流通過該設備的方式。