常用的入侵检测软件有哪些，举4个以上的例子，谢谢啦

1Snort：这是一个几乎人人都喜爱的开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测方法结合起来。其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意，用户需要检查免费的BASE来分析Snort的警告。

2OSSEC HIDS：这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志3Fragroute/Fragrouter：是一个能够逃避网络入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲，这个工具是用于协助测试网络入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。可不要滥用这个软件呵。

4BASE：又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5Sguil：这是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。其主要部件是一个直观的GUI界面，可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件，实现网络安全监视活动和IDS警告的事件驱动分析。

一虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：

执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型

虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展国内外已有数十家公司推出了功能各不相同的防火墙产品系列

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展

1、使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。

例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

策略执行

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

2、 设置Firewall的要素

网络策略

影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略

服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。

Firewall设计策略

Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：

允许任何服务除非被明确禁止；

禁止任何服务除非被明确允许。

通常采用第二种类型的设计策略。

3、 Firewall的基本分类

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外系统管理员也可以根据实际情况灵活制订判断规则

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全

但包过滤技术的缺陷也是明显的包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙

网络地址转换(NAT)

是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准它允许具有私有IP地址的内部网络访问因特网它还意味着用户不许要为其网络中每一台机器取得注册的IP地址

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可

代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型监测型

防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势由于这种产品是基于应用的,应用网关能提供对协议的过滤例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

4、 建设Firewall的原则

分析安全和服务需求

以下问题有助于分析安全和服务需求：

√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。

√ 增加的需要，如加密或拔号接入支持。

√ 提供以上服务和访问的风险。

√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。

策略的灵活性

Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：

√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。

√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。

远程用户认证策略

√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。

√ PPP/SLIP连接必须通过Firewall认证。

√ 对远程用户进行认证方法培训。

拨入/拨出策略

√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。

√ 外部拨入用户必须通过Firewall的认证。

Information Server策略

√ 公共信息服务器的安全必须集成到Firewall中。

√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。

√ 为Information server定义折中的安全策略允许提供公共服务。

√ 对公共信息服务和商业信息(如email)讲行安全策略区分。

Firewall系统的基本特征

√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。

√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。

√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。

√ Firewall必须支持增强的认证机制。

√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。

√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。

√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。

√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。

√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。

√ Firewall可支持对拨号接入的集中管理和过滤。

√ Firewall应支持对交通、可疑活动的日志记录。

√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。

√ Firewall的设计应该是可理解和管理的。

√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。

5、选择防火墙的要点

(1) 安全性：即是否通过了严格的入侵测试。

(2) 抗攻击能力：对典型攻击的防御能力

(3) 性能：是否能够提供足够的网络吞吐能力

(4) 自我完备能力：自身的安全性，Fail-close

(5) 可管理能力：是否支持SNMP网管

(6) ***支持

(7) 认证和加密特性

(8) 服务的类型和原理

(9)网络地址转换能力

三病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。

我们将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播，主要是恶意的Java控件网站。

(4) 通过群件系统传播。

病毒防护的主要技术如下：

(1) 阻止病毒的传播。

在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：

√ 基于主机

√ 基于网络

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：

上述模型由四个部分组成：

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点：

(1) 精确，可以精确地判断入侵事件。

(2) 高级，可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵资源。

基于网络的安全监控系统具备如下特点：

(1) 能够监视经过本网段的任何活动。

(2) 实时网络监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式：

(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

选择入侵监视系统的要点是：

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度，防欺骗能力。

(5) 模式更新速度。

五安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：

(1) 速度。在网络内进行安全扫描非常耗时。

(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。

(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业网络中的以下方面：

(1) 路由器认证，路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) ***网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于：

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

入侵检测体系结构（主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点）

●主机入侵检测（HIDS）

特点：对针对主机或服务器系统的入侵行为进行检测和响应。

主要优点：性价比高；更加细腻；误报率较低；适用于加密和交换的环境；对网络流量不敏感；确定攻击是否成功。

局限性：①它依赖于主机固有的日志与监视能力，而主机审计信息存在弱点：易受攻击，入侵者可设法逃避审计；

②IDS的运行或多或少影响主机的性能；

③HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测，所能检测到的攻击类型受到限制；

④全面部署HIDS代价较大。

●网络入侵检测（NIDS）

项目 HIDS NIDS

误报 少 一定量

漏报 与技术水平相关 与数据处理能力有关（不可避免）

系统部署与维护 与网络拓扑无关 与网络拓扑相关

检测规则 少量 大量

检测特征 事件与信号分析 特征代码分析

安全策略 基本安全策略（点策略） 运行安全策略（线策略）

安全局限 到达主机的所有事件 传输中的非加密、非保密信息

安全隐患 违规事件 攻击方法或手段

特点：利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务。

主要优点：隐蔽性好；实时检测和响应；攻击者不易转移证据；不影响业务系统；能够检测未成功的攻击企图

局限性：①只检测直接连接网段的通信，不能检测在不同网段的网络包；

②交换以太网环境中会出现检测范围局限；

③很难实现一些复杂的、需要大量计算与分析时间的攻击检测；

④处理加密的会话过程比较困难

●分布式入侵检测（DIDS）

一般由多个协同工作的部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。

基于主机系统的结构

基于主机入侵检测系统为早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上，基本过程如下图所示。

这种类型的系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机检测系统就暴露出其弱点。特别是在现在的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面：- 一是主机的审计信息易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。、

二是不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。三是IDS的运行或多或少影响服务器的性能。四是基于主机的入侵检测系统只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。但是假如入侵者突破网络中的安全防线，已经进入主机操作，那么基于主机的入侵检测系统对于监测重要的服务器的安全状态仍然是十分有价值的。

基于网络系统的结构

随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。从而，人们提出了基于网络入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。基本过程如下图所示。

图中的探测器由过滤器、网络接口引擎器以及过滤规则决策器构成，探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给分析引擎器进行安全分析判断。分析引擎器将从探测器上接收到的包并结合网络安全数据库进行分析，把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。

基于网络的入侵检测系统的优点是：

服务器平台独立性：基于网络的入侵检测系统监视通信流量而不影响服务器的平台的变化和更新；配置简单：基于网络的入侵检测环境只需要一个普通的网络访问接口即可；众多的攻击标识：基于网络的入侵检测探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击。

入侵检测技术是当今一种非常重要的动态安全技术，如果与 “传统 ”的 静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。

　1、入侵检测的内容。关于入侵检测的 “定义 ”已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。

　目前，利用最新的可适应网络安全技术和P2DR(Policy Protection Detection Response)安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术：(1)异常发现技术。(2)模式发现技术。

　目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。从具体工作方式上看，绝大多数入侵检测系统都采取两种不同的方式来进行入侵检测：基于网络和基于主机的。不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名(Attack Signature)。所谓攻击签名，就是用一种特定的方式来表示已知的攻击方式。

　2基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有：(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。

　3基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。

　基于主机的IDS的主要优势有：(1)非常适用于加密和交换环境。(2)近实时的检测和应答。(3)不需要额外的硬件。

　4集成化:IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势，两者相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络，因此就无法通过基于网络的IDS检测到，只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标(header)来进行检测，而基于主机的IDS并不查看包首标。许多基于IP的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面，基于主机的IDS对基于网络的IDS是一个很好的补充，人们完全可以使用基于网络的IDS提供早期报警，而使用基于主机的IDS来验证攻击是否取得成功。

　在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更加强大，而且部署和使用上也更加灵活方便。

　5选择合适的IDS。

　这几年有关入侵检测的产品发展比较快，现在比较流行的入侵检测系统(IDS)也比较多，其中Intruder Alert and Netprowler、Centrax 22和Realsecure 32采用了集成化的检测方法。

　NetRanger:与路由器结合。Cisco的NetRanger是当前性能的IDS之一。NetRanger使用一个引擎/控制模型，它几乎能够检测到当前已知的各种攻击。

一、性质不同

1、基于网络的入侵检测系统用原始的网络包作为数据源，它将网络数据中检测主机的网卡设为混杂模式，该主机实时接收和分析网络中流动的数据包，从而检测是否存在入侵行为。

2、基于主机的入侵检测系统(Host-basedIDS,HIDS)出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在这样的环境里，检查可疑行为的审计记录相对比较容易，况且在当时入侵行为非常少，通过对攻击的事后分析就可以防止随后的攻击。

二、原理不同

1、基于网络的入侵检测系统：通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块。

2、基于主机入侵检测系统：使用审计记录，但主机能自动进行检测，而且能准确及时地作出响应。通常，HIDS监视分析系统、事件和安全记录。

扩展资料

HIDS的主要特点如下。

1、监视特定的系统活动

HIDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件或者试图访问特殊的设备。

2、能够检查到基于网络的入侵检查系统检查不出的攻击

HIDS可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。

3、适用于采用了数据加密和交换式连接的子网环境

由于HIDS安装在遍布子网的各种丰机上，它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。

——基于网络的入侵检测系统

——基于主机入侵检测系统

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

主要功能：

1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。

SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。 

3、网络操作的审计监控功能

通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。  

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

类型

1、过滤型防火墙

过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。 

2、应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。

这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。 

3、复合型

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制。

如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

扩展资料

具体应用

1、内网中的防火墙技术

防火墙在内网中的设定位置是比较固定的，一般将其设置在服务器的入口处，通过对外部的访问者进行控制，从而达到保护内部网络的作用，而处于内部网络的用户，可以根据自己的需求明确权限规划，使用户可以访问规划内的路径。

总的来说，内网中的防火墙主要起到以下两个作用：一是认证应用，内网中的多项行为具有远程的特点，只有在约束的情况下，通过相关认证才能进行；二是记录访问记录，避免自身的攻击，形成安全策略。 

2、外网中的防火墙技术

应用于外网中的防火墙，主要发挥其防范作用，外网在防火墙授权的情况下，才可以进入内网。针对外网布设防火墙时，必须保障全面性，促使外网的所有网络活动均可在防火墙的监视下，如果外网出现非法入侵，防火墙则可主动拒绝为外网提供服务。

基于防火墙的作用下，内网对于外网而言，处于完全封闭的状态，外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径，所以防火墙能够详细记录外网活动，汇总成日志，防火墙通过分析日常日志，判断外网行为是否具有攻击特性。

-防火墙

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：

（1）尽可能靠近攻击源

（2）尽可能靠近受保护资源

这些位置通常是：

·服务器区域的交换机上

·Internet接入路由器之后的第一台交换机上

·重点保护网段的局域网交换机上