入侵系統(tǒng)常用的檢測(cè)方法(簡(jiǎn)述入侵檢測(cè)常用的四種方法)

1.簡(jiǎn)述入侵檢測(cè)常用的四種方法

1）特征檢測(cè) 特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。

當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專(zhuān)家系統(tǒng)相仿。

其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類(lèi)似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。 2）統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。

統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。

3）專(zhuān)家系統(tǒng) 用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。

專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專(zhuān)家系統(tǒng)的關(guān)鍵。

在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專(zhuān)家系統(tǒng)防范有特征入侵行為的有效性完全取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性。

4）文件完整性檢查 文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數(shù)字文摘通過(guò)Hash函數(shù)計(jì)算得到。不管文件長(zhǎng)度如何，它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。

與加密算法不同，Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD5、SHA時(shí)，兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。

從而，當(dāng)文件一被修改，就可檢測(cè)出來(lái)。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

2.入侵檢測(cè)系統(tǒng)的檢測(cè)方法

在異常入侵檢測(cè)系統(tǒng)中常常采用以下幾種檢測(cè)方法： 基于貝葉斯推理檢測(cè)法：是通過(guò)在任何給定的時(shí)刻，測(cè)量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件。 基于特征選擇檢測(cè)法：指從一組度量中挑選出能檢測(cè)入侵的度量，用它來(lái)對(duì)入侵行為進(jìn)行預(yù)測(cè)或分類(lèi)。 基于貝葉斯網(wǎng)絡(luò)檢測(cè)法：用圖形方式表示隨機(jī)變量之間的關(guān)系。通過(guò)指定的與鄰接節(jié)點(diǎn)相關(guān)一個(gè)小的概率集來(lái)計(jì)算隨機(jī)變量的聯(lián)接概率分布。按給定全部節(jié)點(diǎn)組合，所有根節(jié)點(diǎn)的先驗(yàn)概率和非根節(jié)點(diǎn)概率構(gòu)成這個(gè)集。貝葉斯網(wǎng)絡(luò)是一個(gè)有向圖，弧表示父、子結(jié)點(diǎn)之間的依賴(lài)關(guān)系。當(dāng)隨機(jī)變量的值變?yōu)橐阎獣r(shí)，就允許將它吸收為證據(jù)，為其他的剩余隨機(jī)變量條件值判斷提供計(jì)算框架。

基于模式預(yù)測(cè)的檢測(cè)法：事件序列不是隨機(jī)發(fā)生的而是遵循某種可辨別的模式是基于模式預(yù)測(cè)的異常檢測(cè)法的假設(shè)條件，其特點(diǎn)是事件序列及相互聯(lián)系被考慮到了，只關(guān)心少數(shù)相關(guān)安全事件是該檢測(cè)法的最大優(yōu)點(diǎn)。 基于統(tǒng)計(jì)的異常檢測(cè)法：是根據(jù)用戶對(duì)象的活動(dòng)為每個(gè)用戶都建立一個(gè)特征輪廓表，通過(guò)對(duì)當(dāng)前特征與以前已經(jīng)建立的特征進(jìn)行比較，來(lái)判斷當(dāng)前行為的異常性。用戶特征輪廓表要根據(jù)審計(jì)記錄情況不斷更新，其保護(hù)去多衡量指標(biāo)，這些指標(biāo)值要根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)而得到。 基于機(jī)器學(xué)習(xí)檢測(cè)法：是根據(jù)離散數(shù)據(jù)臨時(shí)序列學(xué)習(xí)獲得網(wǎng)絡(luò)、系統(tǒng)和個(gè)體的行為特征，并提出了一個(gè)實(shí)例學(xué)習(xí)法IBL,IBL是基于相似度，該方法通過(guò)新的序列相似度計(jì)算將原始數(shù)據(jù)（如離散事件流和無(wú)序的記錄）轉(zhuǎn)化成可度量的空間。然后，應(yīng)用IBL學(xué)習(xí)技術(shù)和一種新的基于序列的分類(lèi)方法，發(fā)現(xiàn)異常類(lèi)型事件，從而檢測(cè)入侵行為。其中，成員分類(lèi)的概率由閾值的選取來(lái)決定。

數(shù)據(jù)挖掘檢測(cè)法：數(shù)據(jù)挖掘的目的是要從海量的數(shù)據(jù)中提取出有用的數(shù)據(jù)信息。網(wǎng)絡(luò)中會(huì)有大量的審計(jì)記錄存在，審計(jì)記錄大多都是以文件形式存放的。如果靠手工方法來(lái)發(fā)現(xiàn)記錄中的異?，F(xiàn)象是遠(yuǎn)遠(yuǎn)不夠的，所以將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)中，可以從審計(jì)數(shù)據(jù)中提取有用的知識(shí)，然后用這些知識(shí)區(qū)檢測(cè)異常入侵和已知的入侵。采用的方法有KDD算法，其優(yōu)點(diǎn)是善于處理大量數(shù)據(jù)的能力與數(shù)據(jù)關(guān)聯(lián)分析的能力，但是實(shí)時(shí)性較差。

基于應(yīng)用模式的異常檢測(cè)法：該方法是根據(jù)服務(wù)請(qǐng)求類(lèi)型、服務(wù)請(qǐng)求長(zhǎng)度、服務(wù)請(qǐng)求包大小分布計(jì)算網(wǎng)絡(luò)服務(wù)的異常值。通過(guò)實(shí)時(shí)計(jì)算的異常值和所訓(xùn)練的閾值比較，從而發(fā)現(xiàn)異常行為。

基于文本分類(lèi)的異常檢測(cè)法：該方法是將系統(tǒng)產(chǎn)生的進(jìn)程調(diào)用集合轉(zhuǎn)換為“文檔”。利用K鄰聚類(lèi)文本分類(lèi)算法，計(jì)算文檔的相似性。 誤用入侵檢測(cè)系統(tǒng)中常用的檢測(cè)方法有： 模式匹配法：是常常被用于入侵檢測(cè)技術(shù)中。它是通過(guò)把收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)中的已知信息進(jìn)行比較，從而對(duì)違背安全策略的行為進(jìn)行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負(fù)擔(dān)，有較高的檢測(cè)率和準(zhǔn)確率。 專(zhuān)家系統(tǒng)法：這個(gè)方法的思想是把安全專(zhuān)家的知識(shí)表示成規(guī)則知識(shí)庫(kù)，再用推理算法檢測(cè)入侵。主要是針對(duì)有特征的入侵行為。 基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)法：該方法的基本思想是將攻擊看成一個(gè)連續(xù)的、分步驟的并且各個(gè)步驟之間有一定的關(guān)聯(lián)的過(guò)程。在網(wǎng)絡(luò)中發(fā)生入侵時(shí)及時(shí)阻斷入侵行為，防止可能還會(huì)進(jìn)一步發(fā)生的類(lèi)似攻擊行為。在狀態(tài)轉(zhuǎn)移分析方法中，一個(gè)滲透過(guò)程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個(gè)初始狀態(tài)變?yōu)樽罱K某個(gè)被危害的狀態(tài)。

3.網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有哪些呢

1、操作模型，該模型假設(shè)異常可通過(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，考試，大提示在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊； 2、方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常； 3、多元模型，操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)； 4、馬爾柯夫過(guò)程模型，將每種類(lèi)型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件； 5、時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。

專(zhuān)家系統(tǒng) 用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。 所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。

專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專(zhuān)家系統(tǒng)的關(guān)鍵。

在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。 運(yùn)用專(zhuān)家系統(tǒng)防范有特征入侵行為的有效性完全取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性。

文件完整性檢查 文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數(shù)字文摘通過(guò)Hash函數(shù)計(jì)算得到。不管文件長(zhǎng)度如何，它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。

與加密算法不同，Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD 5、SHA時(shí)，兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。

從而，當(dāng)文件一被修改，就可檢測(cè)出來(lái)。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

文件完整性檢查系統(tǒng)的優(yōu)點(diǎn) 從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無(wú)論是時(shí)間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強(qiáng)勁的檢測(cè)文件被修改的工具。

實(shí)際上，文件完整性檢查系統(tǒng)是一個(gè)檢測(cè)系統(tǒng)被非法使用的最重要的工具之一。 文件完整性檢查系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測(cè)系統(tǒng)中所有文件或某些重要文件。

當(dāng)一個(gè)入侵者攻擊系統(tǒng)時(shí)，他會(huì)干兩件事，首先，他要掩蓋他的蹤跡，即他要通過(guò)更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來(lái)隱藏他的活動(dòng)；其它，他要作一些改動(dòng)保證下次能夠繼續(xù)入侵。 這兩種活動(dòng)都能夠被文件完整性檢查系統(tǒng)檢測(cè)出。

文件完整性檢查系統(tǒng)的弱點(diǎn) 文件完整性檢查系統(tǒng)依賴(lài)于本地的文摘數(shù)據(jù)庫(kù)。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。

當(dāng)一個(gè)入侵者取得管理員權(quán)限后，在完成破壞活動(dòng)后，可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫(kù)，從而瞞過(guò)系統(tǒng)管理員。 當(dāng)然，可以將文摘數(shù)據(jù)庫(kù)放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。

做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作，在Tripwire中，在需要時(shí)可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。 系統(tǒng)有些正常的更新操作可能會(huì)帶來(lái)大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作，如，在Windows NT系統(tǒng)中升級(jí)MS-Outlook將會(huì)帶來(lái)1800多個(gè)文件變化。

4.入侵檢測(cè)系統(tǒng)異常檢測(cè)方法有什么

入侵檢測(cè)技術(shù)基礎(chǔ) 1. IDS（入侵檢測(cè)系統(tǒng)）存在與發(fā)展的必然性 （1）網(wǎng)絡(luò)安全本身的復(fù)雜性，被動(dòng)式的防御方式顯得力不從心。

（2）有關(guān)供觸垛吠艸杜訛森番緝防火墻：網(wǎng)絡(luò)邊界的設(shè)備；自身可以被攻破；對(duì)某些攻擊保護(hù)很弱；并非所有威脅均來(lái)自防火墻外部。（3）入侵很容易：入侵教程隨處可見(jiàn)；各種工具唾手可得 2. 入侵檢測(cè)（Intrusion Detection） ●定義：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

入侵檢測(cè)的分類(lèi)（1）按照分析方法/檢測(cè)原理分類(lèi) ●異常檢測(cè)（Anomaly Detection）：基于統(tǒng)計(jì)分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。

前提：入侵是異常活動(dòng)的子集。指標(biāo)：漏報(bào)率低，誤報(bào)率高。

用戶輪廓（Profile）：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對(duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源 ●誤用檢測(cè)（Misuse Detection）：基于模式匹配原理。

收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測(cè)到的特征。

指標(biāo)：誤報(bào)低、漏報(bào)高。攻擊特征庫(kù)：當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。

特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力。

5.入侵檢測(cè)系統(tǒng)可以分為哪幾類(lèi)

入侵檢測(cè)系統(tǒng)（Intrusion-detection system，下稱(chēng)“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。 IDS最早出現(xiàn)在1980年4月。

該年，James P. Anderson為美國(guó)空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術(shù)報(bào)告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發(fā)展成為入侵檢測(cè)專(zhuān)家系統(tǒng)（IDES）。

1990年，IDS分化為基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。后又出現(xiàn)分布式IDS。

目前，IDS發(fā)展迅速，已有人宣稱(chēng)IDS可以完全取代防火墻。 我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門(mén)衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。

一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。 IDS入侵檢測(cè)系統(tǒng)以信息來(lái)源的不同和檢測(cè)方法的差異分為幾類(lèi)。

根據(jù)信息來(lái)源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和濫用入侵檢測(cè)。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。

在如今的網(wǎng)絡(luò)拓?fù)渲校呀?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護(hù)資源 這些位置通常是： ·服務(wù)器區(qū)域的交換機(jī)上 ·Internet接入路由器之后的第一臺(tái)交換機(jī)上 ·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上 由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來(lái)。

Venustech（啟明星辰）、Internet Security System(ISS)、思科、賽門(mén)鐵克等公司都推出了自己的產(chǎn)品。 [編輯本段]系統(tǒng)組成 IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Event generators）；事件分析器（Event analyzers）；響應(yīng)單元（Response units ）；事件數(shù)據(jù)庫(kù)（Event databases ）。

事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

系統(tǒng)分類(lèi) 根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。 系統(tǒng)通信協(xié)議 IDS系統(tǒng)內(nèi)部各組件之間需要通信，不同廠商的IDS系統(tǒng)之間也需要通信。

因此，有必要定義統(tǒng)一的協(xié)議。目前，IETF目前有一個(gè)專(zhuān)門(mén)的小組Intrusion Detection Working Group (IDWG)負(fù)責(zé)定義這種通信格式，稱(chēng)作Intrusion Detection Exchange Format(IDEF)，但還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。

以下是設(shè)計(jì)通信協(xié)議時(shí)應(yīng)考慮的問(wèn)題： 1.系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔?，因此必須要保持?jǐn)?shù)據(jù)的真實(shí)性和完整性。必須有一定的機(jī)制進(jìn)行通信雙方的身份驗(yàn)證和保密傳輸（同時(shí)防止主動(dòng)和被動(dòng)攻擊）。

2.通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。 入侵檢測(cè)技術(shù) 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。

從技術(shù)上，入侵檢測(cè)分為兩類(lèi)：一種基于標(biāo)志（signature-based），另一種基于異常情況（anomaly-based）。 對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。

檢測(cè)主要判別這類(lèi)特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類(lèi)似殺毒軟件。

而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類(lèi)數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正常”情況。

兩種檢測(cè)技術(shù)的方法、所得出的結(jié)論有非常大的差異?；诋惓５臋z測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)。

對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類(lèi)型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新?；诋惓５臋z測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺(jué)的攻擊。

6.黑客入侵檢測(cè)方法有哪些

1）特征檢測(cè)特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。

當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專(zhuān)家系統(tǒng)相仿。

其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類(lèi)似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。 2）統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。

3）專(zhuān)家系統(tǒng) 用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。

專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。4）文件完整性檢查 文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。

文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

7.入侵檢測(cè)技術(shù)的方法

方法有很多，如基于專(zhuān)家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。

入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：

1.監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

4.異常行為模式的統(tǒng)計(jì)分析；

5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6.操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。