1、主機入侵檢測技術研究所謂入侵檢測技術就是研究入侵檢測的技術。當前應用在入侵檢測上的技術有很多種對入侵檢測技術的分類也是各樣各樣。但大體有以下幾種分類方式?；谥鳈C的入侵檢測系統(tǒng)（Host-basedIntrusionDetectionSystem，HIDS）HIDS主若是依照主機的系統(tǒng)日志與審計信息來作為檢測的數據進行解析的。平時在受保護的主機上有特地的檢測代理來對系統(tǒng)日志與審計信息不斷的監(jiān)察與解析，進而發(fā)現攻擊。HIDS能夠很好的監(jiān)察特定的系統(tǒng)行為，比方說用戶的登錄與登出，文件屬性的改變等。能夠快速的對已知的二次攻擊作出反應，檢測出網絡流中不能夠檢測出的攻擊。但同樣由于它安裝在需要保護的設備

2、上，降低了系統(tǒng)的應用效率，全面的部署代價會很大，它不監(jiān)測網絡上的情況，所以很對很多網絡攻擊力所不及?；诰W絡的入侵檢測系統(tǒng)(Network-basedIntrusionDetectionSystem,NIDS)基于網絡的入侵檢測系統(tǒng)（NIDS）是以網絡數據包、網絡流也許網絡連接記錄來作為解析的數據源的。它平時是把網絡主機的網卡設置成混雜模式來捕獲網絡數據流，爾后利用各樣技術對數據包也許數據流進行解析研究。對數據包分析的方法有協議解析法、模式般配法、協議指紋法等，對網絡流解析有統(tǒng)計的方法、數據挖掘的方法等。利用這些方法成立的檢測系一致旦檢測到攻擊，就會立即報警作出響應，比方中斷網絡連接，封閉端口

3、、通知網絡管理員等。NIDS能夠很好的檢測出網絡數據包的已知攻擊，擁有成本低，檢測與響應實時，不依靠操作系統(tǒng)等優(yōu)點。但同樣它不能夠檢測出未知的攻擊，且在網絡數據流很大的時候，會出現漏報現象，檢測不出針對于主機的攻擊等弊端。誤用檢測誤用檢測是對已知系統(tǒng)的漏洞與應用軟件的弊端進行建模與解析的一項入侵檢測技術。它的前提是入侵行為會按某種特定的形式進行編碼。這就需要知道所有攻擊行為的特點。由于特點的多樣性，故誤用檢測也是多種多樣?；谀Ｊ桨闩涞恼`用入侵檢測基于模式般配的誤用檢測是把已知的入侵特點變換成特定的格式的數據存儲在數據庫中，檢測時，數據庫儲藏的特點逐條與入侵事件進行模式般配，若匹配成功，則確認

4、為攻擊，否則為正常。當前的模式般配方法有BM(Boyer-Moore)算法、BF（BruteForce）算法、KMP算法等。模式般配的誤用檢測能很好的檢測各樣已知的攻擊，擁有易推行，檢測效率高，反應實時等特點。但當數據比較大的時候，其效率就變得特別低，特別當應用到網絡數據包檢測上,就會出現漏報現象。并且它對異常攻擊力所不及。基于狀態(tài)轉移解析的誤用入侵檢測基于狀態(tài)轉移解析的誤用入侵檢測系統(tǒng)是利用狀態(tài)圖來表示入侵特點，不同樣狀態(tài)的刻畫了系統(tǒng)不同樣時刻的特點。狀態(tài)轉移的初始狀態(tài)表示入侵前的開始狀態(tài)，而危害狀態(tài)則表示成功入侵時刻的系統(tǒng)狀態(tài)。初始狀態(tài)到危害狀態(tài)的遷移可能只經歷一個狀態(tài)也可能會經歷很多的中

5、間狀態(tài)。而且這些中間狀態(tài)的遷移還可能是雙向的。攻擊者執(zhí)行一系列攻擊行為，是系統(tǒng)狀態(tài)從初始狀態(tài)經過中間狀態(tài)遷移危害狀態(tài)。經過這種方式來檢測可否有入侵攻擊的發(fā)生?；跔顟B(tài)轉移解析的誤用入侵檢測在IDS上應用很多，其擁有代表性的產品STAT(statetransitionanalysistechnique)和USTAT(statetransitionanalysistoolforUNIX)?；趯＜蚁到y(tǒng)的誤用入侵檢測基于專家系統(tǒng)的誤用入侵檢測是把從事網絡安全研究專家的知識格式化后變換成規(guī)則知識庫，爾后用推理機中的推理算法來對事件進行檢測，發(fā)現入侵行為。利用專家系統(tǒng)對入侵進行檢測，主若是針對有特點的入

6、侵行為。異常檢測它填充了誤用檢測不能夠檢測未知攻擊的弊端。但同樣它也有自己的弊端就是會產生高漏報率與誤報率。異常檢測的方法很多，下面重視介紹幾種異常檢測解析技術。基于統(tǒng)計模型的異常入侵檢測基于統(tǒng)計模型的異常入侵檢測是依照統(tǒng)計學原理來進行系統(tǒng)建模設計的。它是經過觀察主體的活動，爾后對這些活動進行格式化產生主體輪廓數據庫。主體擁有一系列活動，而這些活動都記錄在在主體輪廓數據庫中。再經過判斷當前輪廓與主體輪廓數據庫的異同來發(fā)現異常行為。基于統(tǒng)計模型的異常入侵檢測有很多詳盡的方法能夠應用，比方基于閾值測量的檢測，基于平均值與標準偏差模型的檢測，基于馬爾可夫進度模型的檢測，基于隱馬爾可夫鏈的協議模型的檢

7、測,基于主元解析和支持向量機的異常檢測等。誠然用的方法各異，但它們有一個共同的目標就是搜尋異常，即異常的判斷標準。很多研究者是經過訓練正常行為產生閾值來界定異常行為的。這樣閾值決定著誤報率與漏報率。故怎么界定閾值是當前異常檢測的一個難點所在?；谏窠浘W絡的異常入侵檢測神經網絡有自組織，自適應與自學習能力的特點，能辦理很多特別復雜的環(huán)境，背景知識缺乏的問題，且它贊同樣本能夠有較大弊端與不足。在基于統(tǒng)計方法的異常入侵檢測的弊端是無法實現高維正確檢測的，而神經網絡構造的智能化的入侵異常檢測系統(tǒng)則是能夠的。入侵檢測主要用到神經網絡的分類與鑒別功能。第一獲取研究主體的行為模式特點知識，主體可是主機、用戶等。利用神經網絡的分類、鑒別、歸納能力，對這些知識來成立適應用戶行為的動向變化特點的入侵檢測系統(tǒng)。內容總結（1）主機入侵檢測技術研究所謂入侵檢測技術就是研究入侵檢測的技術（2）主機入侵檢測技術研究所謂入侵檢測技術就是研