入侵检测

入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。他经过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是防火墙的合理补充。

 

入侵检测系统所采用的技术可分为特征检测与异常检测两种：

 

特征检测：

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动能够用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它能够将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既可以表达“入侵”现象又不会将正常的活动包含进来。

异常检测：

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念创建主体正常活动的“活动简档”，将当前主体的活动情况与“活动简档”相比较，当违反其统计规律时，认为该活动多是“入侵”行为。异常检测的难题在于如何创建“活动简档”以及如何设计统计算法，从而不把正常的操做做为“入侵”或忽略真正的“入侵”行为。

 

入侵分类：

 

1)基于主机

通常主要使用操做系统的审计、跟踪日志做为数据源，某些也会主动与主机系统进行交互以得到不存在于系统日志中的信息以检测入侵。这种类型的检测系统不须要额外的硬件．对网络流量不敏感，效率高，能准肯定位入侵并及时进行反应，可是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2)基于网络

经过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再经过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操做系统做为检测资源，可应用于不一样的操做系统平台；配置简单，不须要任何特殊的审计和登陆机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视通过本网段的活动，没法获得主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3)分布式

这种入侵检测系统通常为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。