本文目录一览：

• 1、什么是入侵检测?
• 2、我的确电脑防火墙显示总是有黑客侵犯,请教各位大哥怎么解决啊
• 3、防火墙提示被攻击
• 4、电脑被黑客侵入后会出现哪些现象?
• 5、防火墙开始拦截数据包并报警时,说明系统正在遭受黑客攻击 为什么是错的呀？
• 6、什么是入侵检测，以及入侵检测的系统结构组成？

什么是入侵检测?

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

检测步骤

(1)信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。

而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其他工具。

黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。

这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

(2)信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

我的确电脑防火墙显示总是有黑客侵犯,请教各位大哥怎么解决啊

您好feng1226，

这说明于您处于同一子网内的计算机中毒了，病毒沿网络向外扩散，当要传播给您时，被防火墙拦截了。

防火墙丢包是正常的，不必担心！

防火墙提示被攻击

不用担心啊,是正常的,我也出过这样的情况,那只是流氓软件罢了.就算是2003蠕虫王攻击,按我说的做,一定行哦!

防范2003蠕虫王病毒：

1、特别提醒尚未感染该病毒的企业和用户及时到网址：

下载微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3：

。

3、如果由于DoS导致系统反应缓慢，可先断开网络连接，然后在Windows任务管理器里面强行终止进程SqlServr.exe，在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务。

4、强烈建议用户检查计算机，打全所有系统漏洞补丁。

2003蠕虫王(Worm.netkiller2003)病毒档案：

警惕程度：★★★★★ 发作时间：随机 病毒类型：蠕虫病毒 传播方式：网络感染对象：网络

病毒介绍：于1月25日被瑞星公司在国内率先截获。它利用SQL Server 2000系统的漏洞，采用“缓冲区溢出”技术，进行网络感染与网络攻击，从而对网络和服务器造成严重危害。目前已在全球大面积蔓延，疯狂攻击网络，在短时间内便造成全球各大网络系统瘫痪！该病毒类似“红色代码”病毒，不通过文件、邮件等媒介，而是通过漏洞直接在内存中传播，它会制造大量伪IP地址，然后向这些地址进行攻击。由于这一病毒传播的无目的性，会导致网络严重阻塞，导致SQL Server 2000服务器全面瘫痪，造成用户上网障碍。必须充分运用网络杀毒软件、防火墙以及入侵检测等多种手段，才能够有效预防并清除危害。病毒的发现与清除：此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：1.病毒会发送包内容长度376字节的特殊格式的UDP包到 SQLServer服务器的1434端口，利用SQL Server漏洞执行病毒代码，要想发现病毒攻击，只能借助一些网络监听工具。2.病毒会使主干网络严重阻塞，并使SQL Server 2000服务器拒绝服务，表现出来的情况是用户无法登陆部分网站。3.用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“2003蠕虫王”(Worm.netkiller2003)病毒。

用户可以用以下方法进行清除：1.拨掉网线，给系统打补丁。补丁下载地址是：微软系统补丁程序下载： SQLServer 2000 ServicePack 3:（SQL Server 2000补丁包）下载： 2. 没有杀毒软件的用户可以用瑞星的专杀工具杀除本地内存中的2003蠕虫王病毒，瑞星病毒专杀工具下载地址： 3. 有瑞星网络版的用户请升级最新的版本，然后打开内存监控，并进行全网内存杀毒。4.有防火墙的用户可以在防火墙或者路由器上设置：禁止外部对内的和内部对外的UDP/1434端口的访问。

电脑被黑客侵入后会出现哪些现象?

第一标志：电脑频繁随机弹出窗口。如果你电脑有这样的现象，你可能已经遭到黑客攻击了。您的系统已经遭到破坏。恶意软件可绕过浏览器的抑制随机弹出窗口anti-up的机制。

第二标志，您的浏览器突然多了一个新的工具栏，这是很常见的事情。但是应该警惕了。来路不明的新工具栏，最好还是把它删除。如果不不能轻易的删除它，你可以重新把浏览器设置到默认选项。如果你想添加新的工具栏，在安装时要阅读许可协议，并确保工具栏是合法程序。但绝大多数人都不看许可协议，恶意软件就有了可乘之机。

第三标志：安装意外的软件。安装意外的软件意味着您的计算机系统有可能遭到黑客攻击。早期的恶意软件，大多数程序是计算机病毒。但现在的多数恶意软件程序是木马，这些木马通常很像合法的程序。很多时候这些恶意软件是通过合法安装其他程序时被安装到你的电脑，阅读许可协议是非常重要的。许可协议可能已经表明，他们将会安装一个或者多个其他程序。有时您可选择不安装，有时你没有这种选择。

第四标志：您搜索的页面，跳转到其他网页。许多黑客通过重新定向，让你跳转到其他网站，而这个网站并不是你想浏览的网站。当你点击网页时，黑客即可获取利益。如果您既有假工具栏程序，又被重新定向。你应该仔细察看你的系统，删除恶意程序软件，以摆脱跳转到其他网页的状况。

防火墙开始拦截数据包并报警时,说明系统正在遭受黑客攻击 为什么是错的呀？

防火墙的抗攻击拦截特性，比如针对网络中的数据包的arp flood、udp flood、syn flood、ping of death等是可以设置阈值的，当数据包超过阈值防火墙即会对数据包进行拦截或报警；但是超过阈值不一定就发生了攻击行为，有可能是正常应用的大量并发连接导致防火墙发生误报；所以在实际的配置中应该根据实际的应用进行阈值的合理调节，避免误报。

什么是入侵检测，以及入侵检测的系统结构组成？

入侵检测是防火墙的合理补充。

入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

扩展资料：

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵。

后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高。

误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。

这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

参考资料来源：百度百科—入侵检测

参考资料来源：百度百科—入侵检测系统