入侵检测概述

入侵应与受害目相关联。入侵的依据是：对目标的操作是否超出了目标的安全策略范围，入侵是指违背访问目标的安全策略的行为，简称IDS。

通用的入侵检测框架模型简称CIDF，由事件产生器、事件分析器、相应单元和事件数据库。事件产生器从整个计算机环境中获得事件；时间分析器分析所得到的数据并产生分析结果；响应单元对分析结果做出反应；事件数据库存储各种中间和最终数据。

入侵检测作用

发现受保护系统中的入侵行为或异常行为；

检验安全保护措施的有效性；

分析受保护系统所面临的威胁；

有力阻止安全事件扩大，及时报警触发网络安全应急响应；

可以为网络安全策略的制定提供重要指导；

报警信息可用作网络犯罪取证。

入侵检测技术

基于误用的入侵检测技术

称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。依赖于攻击模式库，检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。前提是入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。

误用入侵检测细分为：

基于条件概率的误用检测方法：基于条件概率的误用检测方法，是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。

基于状态迁移的误用检测方法：状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。

基于键盘监控的误用检测方法：基于键盘监控的误用检测方法，是假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。

基于规则的误用检测方法：基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。

基于异常的入侵检测技术

异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

异常检测几种常见方法：

基于统计的异常检测方法：基于统计的异常检测方法就是利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓。

基于模式预测的异常检测方法：基于时间的推理方法，利用时间规则，识别用户正常行为模式的特征。

基于文本分类的异常检测方法：基于文本分类的异常检测方法的基本原理是将程序的系统调用视为某个文档中的“字”，而进程运行所产生的系统调用集合就产生一个“文档”。

基于贝叶斯推理的异常检测方法：基于贝叶斯推理的异常行为检测方法，是指在任意给定的时刻，测量 A1，A2，…An 变量值，推理判断系统是否发生入侵行为。

入侵检测系统组成与分类

一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。

根据IDS的检测数据来源和安全作用范围，分为三大类：基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）、分布式入侵检测系统（DIDS）

分布式入侵检测系统又分为：基于主机的分布式入侵检测（HDIDS）、基于网络的分布式入侵检测（NDIDS）

入侵检测系统主要产品与技术指标

入侵检测相关产品：

主机入侵检测系统、网络入侵检测系统、统一威胁管理UTM（部署在内部网络和外部网络边界）、高级持续性威胁APT、WEBIDS、数据库IDS、工控IDS等。

入侵检测相关指标：可靠性、可用性、可扩展性、时效性、准确性、安全性

入侵检测应用场景类型

上网保护、网站入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护