日产IDS优点

IDS刷机后的优点是可以玩烧卡上的游戏，时间也比用引导卡玩的长。 缺点是刷后就成为NDS了不能玩IDS的正版中文游戏。界面也不是中文的了。 所以如果是IDS的话还是不要刷机用引导卡玩就成了。

入侵检测系统的概念 入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4类： ①检查单IP包（包括TCP、UDP）首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。 ②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。 ③通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。 ④利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前（在IP层接受或转发时,而不是在向上层发送时）作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。 入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。 入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应（被动响应和主动响应）。 信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。 数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。 入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。 IDS分类 一般来说,入侵检测系统可分为主机型和网络型。 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 不难看出,网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。 而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。参考文献[7]对此做了描述,感兴趣的读者可参看。 入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。将前两者合在一起,只需两台。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。 对于主机型IDS,其数据采集部分当然位于其所监测的主机上。 对于网络型IDS,其数据采集部分则有多种可能： （1）如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可； （2）对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有： a. 交换机的核心芯片上一般有一个用于调试的端口（span port）,任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。 优点：无需改变IDS体系结构。 缺点：采用此端口会降低交换机性能。 b. 把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。 优点：可得到几乎所有关键数据。 缺点：必须与其他厂商紧密合作,且会降低网络性能。 c. 采用分接器（Tap）,将其接在所有要监测的线路上。 优点：在不降低网络性能的前提下收集了所需的信息。 缺点：必须购买额外的设备(Tap)；若所保护的资源众多,IDS必须配备众多网络接口。 d. 可能唯一在理论上没有限制的办法就是采用主机型IDS。 通信协议 IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。 IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format。目前只有相关的草案（internet draft）,并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。 IAP(Intrusion Alert Protocol)是IDWG制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能（如可从任意端发起连接,结合了加密、身份验证等）。对于IAP的具体实现,请参看 [4],其中给出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题： （1）分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动攻击）。 （2）通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。 入侵检测技术 对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类：一种基于标志（signature-based）,另一种基于异常情况(anomaly-based)。 对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出）,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以（至少在理论上可以）判别更广泛甚至未发觉的攻击。 如果条件允许,两者结合的检测会达到更好的效果. 入侵检测系统技术和主要方法 入侵检测系统技术 可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。 发现入侵检测一般采用如下两项技术： ① 异常发现技术,假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。 ② 是模式发现技术,它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。 入侵检测的主要方法 静态配置分析 静态配置分析通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息）,而不是系统中的活动。 采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外,系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。 所以,静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。

入侵检测系统的优点：1.能够使现有的安防体系更完善。2.能够更好地掌握系统的情况。3.能够追踪攻击者的攻击线路。4.界面友好，便于建立安防体系。5.能够抓住肇事者。入侵检测系统的缺点：1. 不能够在没有用户参与的情况下对攻击行为展开调查。2. 不能够在没有用户参与的情况下阻止攻击行为的发生。3. 不能克服网络协议方面的缺陷。4.不能克服设计原理方面的缺陷。5. 响应不够及时，签名数据库更新得不够快。6.经常是事后才检测到，适时性不好。

话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。 来自无线局域网的安全 无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线 对等保密（Wired Equivalent Privacy）都很脆弱。在”Weaknesses in the Key Scheduling Algorithm of RC-4″ 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。 黑客通过欺骗（rogue）WAP得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。 基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。象微波炉，无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。 另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。对于这种攻击，现在暂时还没有好的防御方法，但我们会在将来提出一个更好的解决方案。 入侵检测 入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。 无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。 无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。如今，在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如：自由软件开放源代码组织的Snort-Wireless 和WIDZ 。 架构 无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ，搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。 无线局域网通常被配置在一个相对大的场所。象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。由于这种物理架构，大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。 物理回应 物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小，特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者, 策略执行 无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。 威胁检测 无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogue WAPS，识别出未加密的802.11标准的数据流量。 为了更好的发现潜在的 WAP 目标，黑客通常使用扫描软件。Netstumbler 和Kismet这样的软件来。使用全球卫星定位系统（Global Positioning System ）来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。 比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在网络上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。 除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP 的无线上网用户。 无线入侵检测系统的缺陷 虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。 结论 无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。