什么是系統(tǒng)入侵檢測

入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡，上可以獲得的信息以及系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因此它被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。入侵檢測通過執(zhí)行以下任務來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動:系統(tǒng)構造和弱點的審計:識別反映已知進攻的活動模式，并向相關人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)所采用的技術可分為特征檢測( Signature based Detection)與異常檢測(Anomaly Detection)兩種。

(1)特征檢測。特征檢測又稱Misuse Detection, 它假設入侵者活動可以用一 種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式，既能夠表達"入侵"現(xiàn)象，又不會將正常的活動包含進來。

(2)異常檢測。異常檢測的假設是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥?活動簡檔"，將當前主體的活動狀況與"活動簡檔"相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是"入侵"行為。異常檢測的難題在于如何建立"活動簡檔"以及如何設計統(tǒng)計算法，從而不把正常的操作作為"入侵"行為，又不忽略真正的"入侵"行為。