入侵檢測是指在特定的網絡環境中發現和識別未經授權的、惡意的入侵和攻擊，并對此作出反應的過程。入侵檢測系統（IDS，Intrusion Detecting System）是一套運用入侵檢測技術對計算機或網絡資源進行實時檢測的系統工具。IDS一方面檢測未經授權的對象（人或程序）入侵系統，另一方面還監視授權對象對系統資源的非法操作。入侵檢測作為一種積極主動的安全防護技術，提供了對內部、外部和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統一般包括：

1）信息收集：包括系統日志、網絡數據包、用戶活動狀態和行為等，在計算機網絡系統中的若干不同關鍵點（不同網段和不同主機）收集信息。
2）信息分析：對收集到信息進行安全性分析，從中發現攻擊或入侵的痕跡，常用的信息分析方法有：模式匹配、統計分析和完整性分析，其中模式匹配和統計分析用于實時入侵檢測，完整性分析多用于事后分析。
3）信息存儲：保存證據便于攻擊信息查看和分析；
4）攻擊響應：在攻擊信息分析并確定攻擊類型后，對檢測到的攻擊作相應處理，如發出警報、發郵件和短信等，利用自動裝置直接處理，如切斷連接、過濾攻擊者地址、數據恢復、根除入侵者留下的后門、防火墻聯動等。

入侵檢測技術可分為兩大類：異常入侵檢測技術和誤用入侵檢測技術。
1）誤用入侵檢測技術：誤用入侵檢測首先對表示特定入侵的行為模式進行編碼，建立誤用模式庫；然后對實際檢測過程中得到的審計事件數據進行過濾，檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術有：

?? ——模式匹配：將收集到的信息與已知的網絡入侵和系統誤用模式串進行比較，從而發現違背安全策略的行為，具有原理簡單、擴展性好、檢測效率高、可實時檢測特點。輕量級開放源代碼入侵檢測系統snort采用這個技術。
?? ——專家系統：根據安全專家對可疑行為的分析經驗來形成一套推理規則，在此基礎上建立相應的專家系統來自動對所涉及的入侵行為進行分析，能夠隨著經驗積累而利用其自學習能力進行規則的擴充和修正。在處理海量數據時存在效率問題，由于專家系統的推理和決策模塊通常使用解釋型語言，在執行速度上比編譯型語言慢。規則庫維護艱巨。

2）異常入侵檢測技術：異常檢測是通過對系統異常行為的檢測來發現入侵。異常檢測的關鍵問題在于正常使用模式的建立，以及如何利用該模式對當前系統或用戶行為進行比較，從而判斷出與正常模式的偏離程序。模式（profiles）通常使用一組系統的度量（metrics）來定義。度量，指系統或用戶行為在特定方面的衡量標準。每個度量都對應于一個門限值。常見異常檢測技術有：
?? ——統計分析：首先，檢測器根據用戶對象的動作為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否異常行為。統計分析優點：成熟概率統計理論支持、維護方便；缺點：不能實時檢測，統計分析不能反映時間在時間順序上的前后相關性，而不少入侵行為都有明顯的前后相關性、門限值的確定比較棘手等。
?? ——神經網絡：對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效地加以處理并作出入侵可能性的判斷。利用神經網絡所具有的識別、分類和歸納能力，可以使入侵檢測系統使用用戶行為特征的可變性。從模式識別的角度來看，入侵檢測系統可以使用神經網絡來提取用戶行為的模式特征，并以此創建用戶的行為特征?輪廓。利用神經網絡檢測入侵的基本思想是用一系列單元（命令）訓練神經單元，這樣在給定一組輸入后，就可能預測輸出。

?

3）新技術有：免疫系統、基因算法、數據挖掘、基于代理的檢測等。

總結

以上是生活随笔為你收集整理的入侵检测系统基础知识的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。