入侵检测系统

网络入侵概念

入侵检测：通过计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（IDS）：入侵检测是软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。

检测的内容：试图闯入，成功闯入，冒充其他用户，违反安全策略，合法用户的泄露，独占资源以及恶意使用。

IDS探测原理： 监测和报警，和防火墙产生联动，一般放在交换机上面也可直接放在服务器上面。

入侵检测的作用：

实时检测：实时地监视，分析网络中所有的数据报文，发现并实时处理所捕获的报文。

安全审计：对系统记录的网络事件进行统计分析，发现异常现象，得出系统的安全状态，找出所需的证据。

主动切断连接或与防火墙联动，调用其他程序处理。

分类：

根据所检测的对象来分：

1 基于主机的入侵检测系统HIDS（能对加密数据包分析，成本高）

2 基于网络的入侵检测系统NIDS （不能对加密的数据包分析，成本低）

实际过程两者结合，但非常需要安全的像银行需要HIDS

根据系统的工作方式分为：

1 离线检测系统 （不影响访问速度）

2 在线检测系统  IPS （影响速度，但可以让硬件强大）

分析手段：

模式匹配：用于实时入侵检测。

统计分析：用于实时入侵检测。

完整性分析：用于事后分析。

 

基于异常情况检测：

分析入侵概率，设置阈值。

制定统计方法,方差，多元模型，马尔柯夫过程模式，时间序列，评价指标。