入侵检测系统入侵检测系统的概念入侵检测系统的组成入侵检测系统的特点： 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 IDS的缺点： IDS对数据的检测； 对IDS自身攻击的防护。 由于当代网络发展迅速，网络传输速率大大加快，这造成了IDS工作的很大负担，也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时，对其他传输的检测也会被抑制。同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。6.1.3入侵行为误判 入侵行为的误判分为正误判、负误判和失控误判三种类型。 正误判：把一个合法操作判断为异常行为； 负误判：把一个攻击行为判断为非攻击行为并允许它通过检测； 失控误判：是攻击者修改了IDS系统的操作，使他总是出现负误判；入侵检测的主要技术——入侵分析技术入侵检测系统的主要类型2、优点 主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比,通常能够提供更详尽的相关信息。主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。3、缺点 主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。基于主机的入侵检测系统。它运行在需要保护的主机上，通过检查审计和日志信息来检测入侵行为。大量的日志和审计功能可以用于驱动ID运算法则；而且监控应用程序和主机操作系统间交互情况的探测器还可以为它提供补充作用。基于主机的IDS可以检测特定的应用程序，而基于网络的系统要实现这个功能则很困难，甚至是不可能的。基于主机的IDS也能够检查到表面上没有明显行为的入侵，因为这些入侵会消耗大量的系统资源，而导致系统性能下降。但是有些成功的入侵能够获得很高的权限，从而使入侵者能够关闭基于主机的IDS并且销毁入侵的痕迹。三、基于网络的入侵检测 1、概念 基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。 2、优点 四、集成入侵检测 1、概念 2、优点入侵检测系统的优点和不足2、入侵检测系统的不足 不能够在没有用户参与的情况下对攻击行为展开调查 不能够在没有用户参与的情况下阻止攻击行为的发生 不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够及时，签名数据库更新得不够快