入侵檢測

入侵檢測（Intrusion Detection），顧名思義，就是對入侵行爲的發覺。他經過對計算機網絡或計算機系統中若干關鍵點收集信息並對其進行分析，從中發現網絡或系統中是否有違反安全策略的行爲和被攻擊的跡象。入侵檢測是防火牆的合理補充。

 

入侵檢測系統所採用的技術可分爲特徵檢測與異常檢測兩種：

 

特徵檢測：

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動能夠用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它能夠將已有的入侵方法檢查出來，但對新的入侵方法無能爲力。其難點在於如何設計模式既可以表達「入侵」現象又不會將正常的活動包含進來。

異常檢測：

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念創建主體正常活動的「活動簡檔」，將當前主體的活動情況與「活動簡檔」相比較，當違反其統計規律時，認爲該活動多是「入侵」行爲。異常檢測的難題在於如何創建「活動簡檔」以及如何設計統計算法，從而不把正常的操做做爲「入侵」或忽略真正的「入侵」行爲。

 

入侵分類：

 

1)基於主機

通常主要使用操做系統的審計、跟蹤日誌做爲數據源，某些也會主動與主機系統進行交互以得到不存在於系統日誌中的信息以檢測入侵。這種類型的檢測系統不須要額外的硬件．對網絡流量不敏感，效率高，能準肯定位入侵併及時進行反應，可是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網絡攻擊。

2)基於網絡

經過被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中提取有用的信息，再經過與已知攻擊特徵相匹配或與正常網絡行爲原型相比較來識別攻擊事件。此類檢測系統不依賴操做系統做爲檢測資源，可應用於不一樣的操做系統平臺；配置簡單，不須要任何特殊的審計和登陸機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。但它只能監視通過本網段的活動，沒法獲得主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網絡的入侵檢測系統。

3)分佈式

這種入侵檢測系統通常爲分佈式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網絡關鍵節點上採用網絡入侵檢測，同時分析來自主機系統的審計日誌和來自網絡的數據流，判斷被保護系統是否受到攻擊。