入侵检测实战之全面问答

在网络安全领域，随着黑客应用技术的不断“傻瓜化”，入侵检测系统IDS的地位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然！本文对IDS的概念、行为及策略等方面内容以问答形式进行全面介绍，期望帮助管理者更快和更好地使用IDS。

问：都有哪些重要的IDS系统？

根据监测对象不同，IDS系统分为很多种，以下是几种很重要的IDS系统：

1、NIDS
NIDS是network intrusion detection system的缩写，即网络入侵检测系统，主要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器。

2、SIV
SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现，比如著名的“Tripwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。

3、LFM
LFM是log file monitors的缩写，即日志文件监测器，主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为，例如对于HTTP服务器的日志文件，只要搜索“swatch”关键字，就可以判断出是否有“phf”攻击。

4、Honeypots
蜜罐系统，也就是诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。 

问：谁是入侵者？

通常我们将入侵者称为hacker，但实际上这是不准确的。可以这么说：hacker是发现系统漏洞并修补漏洞的，cracker才是利用漏洞占山头搞破坏的入侵者。为了不混淆视听，在此干脆统一叫作入侵者吧。一般来说，入侵者分为两类：内部和外部。内部入侵者通常利用社会工程学盗用非授权帐户进行非法活动，比如使用其他人的机器、冒充是处长或局长；外部入侵者则要借助一定的攻击技术对攻击目标进行监测、查漏，然后采取破坏活动。

有一点请牢记：统计表明，入侵行为有80%来自内部。

问：入侵者如何进入系统？

主要有三种方式：

1、物理入侵
指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。

2、系统入侵
指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常，如果系统没有及时“打”最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。

3、远程入侵
指入侵者通过网络渗透到一个系统中。这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。NIDS主要针对的就是这种入侵。