入侵检测系统基础知识

入侵检测是指在特定的网络环境中发现和识别未经授权的、恶意的入侵和攻击，并对此作出反应的过程。入侵检测系统（IDS，Intrusion Detecting System）是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象（人或程序）入侵系统，另一方面还监视授权对象对系统资源的非法操作。入侵检测作为一种积极主动的安全防护技术，提供了对内部、外部和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统一般包括：

1）信息收集：包括系统日志、网络数据包、用户活动状态和行为等，在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。
2）信息分析：对收集到信息进行安全性分析，从中发现攻击或入侵的痕迹，常用的信息分析方法有：模式匹配、统计分析和完整性分析，其中模式匹配和统计分析用于实时入侵检测，完整性分析多用于事后分析。
3）信息存储：保存证据便于攻击信息查看和分析；
4）攻击响应：在攻击信息分析并确定攻击类型后，对检测到的攻击作相应处理，如发出警报、发邮件和短信等，利用自动装置直接处理，如切断连接、过滤攻击者地址、数据恢复、根除入侵者留下的后门、防火墙联动等。

入侵检测技术可分为两大类：异常入侵检测技术和误用入侵检测技术。
1）误用入侵检测技术：误用入侵检测首先对表示特定入侵的行为模式进行编码，建立误用模式库；然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有：

   ——模式匹配：将收集到的信息与已知的网络入侵和系统误用模式串进行比较，从而发现违背安全策略的行为，具有原理简单、扩展性好、检测效率高、可实时检测特点。轻量级开放源代码入侵检测系统snort采用这个技术。
   ——专家系统：根据安全专家对可疑行为的分析经验来形成一套推理规则，在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析，能够随着经验积累而利用其自学习能力进行规则的扩充和修正。在处理海量数据时存在效率问题，由于专家系统的推理和决策模块通常使用解释型语言，在执行速度上比编译型语言慢。规则库维护艰巨。

2）异常入侵检测技术：异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立，以及如何利用该模式对当前系统或用户行为进行比较，从而判断出与正常模式的偏离程序。模式（profiles）通常使用一组系统的度量（metrics）来定义。度量，指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常见异常检测技术有：
   ——统计分析：首先，检测器根据用户对象的动作为每个用户建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否异常行为。统计分析优点：成熟概率统计理论支持、维护方便；缺点：不能实时检测，统计分析不能反映时间在时间顺序上的前后相关性，而不少入侵行为都有明显的前后相关性、门限值的确定比较棘手等。
   ——神经网络：对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并作出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力，可以使入侵检测系统使用用户行为特征的可变性。从模式识别的角度来看，入侵检测系统可以使用神经网络来提取用户行为的模式特征，并以此创建用户的行为特征 轮廓。利用神经网络检测入侵的基本思想是用一系列单元（命令）训练神经单元，这样在给定一组输入后，就可能预测输出。

 

3）新技术有：免疫系统、基因算法、数据挖掘、基于代理的检测等。