入侵检测实战之全面问答

一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然！本文对IDS的概念、行为及策略等方面内容以问答形式进行全面介绍，期望帮助管理者更快和更好地使用IDS。

问：都有哪些重要的IDS系统？ 根据监测对象不同，IDS系统分为很多种，以下是几种很重要的IDS系统： 1、NIDS NIDS是network intrusion detection system的缩写，即网络入侵检测系统，主要用于检测hacker或cracker通过网络进行的入侵行为。

NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器。

2、SIV SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。

SIV更多的是以工具软件的形式出现，比如著名的“Tripwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。

3、LFM LFM是log file monitors的缩写，即日志文件监测器，主要用于监测网络服务所产生的日志文件。

LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为，例如对于HTTP服务器的日志文件，只要搜索“swatch”关键字，就可以判断出是否有“phf”攻击。

4、Honeypots 蜜罐系统，也就是诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。

由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。

与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。

蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。

问：谁是入侵者？ 通常我们将入侵者称为hacker，但实际上这是不准确的。

可以这么说：hacker是发现系统漏洞并修补漏洞的，cracker才是利用漏洞占山头搞破坏的入侵者。

为了不混淆视听，在此干脆统一叫作入侵者吧。

一般来说，入侵者分为两类：内部和外部。

内部入侵者通常利用社会工程学盗用非授权帐户进行非法活动，比如使用其他人的机器、冒充是处长或局长；外部入侵者则要借助一定的攻击技术对攻击目标进行监测、查漏，然后采取破坏活动。

有一点请牢记：统计表明，入侵行为有80%来自内部。

问：入侵者如何进入系统？ 主要有三种方式： 1、物理入侵 指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。

2、系统入侵 指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。

通常，如果系统没有及时“打”最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。

3、远程入侵 指入侵者通过网络渗透到一个系统中。

这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。

NIDS主要针对的就是这种入侵。

问：入侵者为何能闯入系统？ 苍蝇不盯无缝的蛋，入侵者只要找到复杂的计算机网络中的一个缝，就能轻而易举地闯入系统。

所以，了解这些缝都有可能在哪里，对于修补它们至关重要。

通常，裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。

1、软件编写存在bug 无论是服务器程序、客户端软件还是操作系统，只要是用代码编写的东西，都会存在不同程度的bug。

Bug主要分为以下几类： 缓冲区溢出：指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。

别以为为登录用户名留出了200个字符就够了而不再做长度检查，所谓防小人不防君子，入侵者会想尽一切办法尝试攻击的途径的。

意料外的联合使用问题：一个程序经常由功能不同的多层代码组成，甚至会涉及到最底层的操作系统级别。

入侵者通常会利用这个特点为不同的层输入不同的内容，以达到窃取信息的目的。

例如：对于由Perl编写的程序，入侵者可以在程序的输入项目中输入类似“| mail 入侵检测,实战,之,全面,问答,在,网络安全,