第四章網(wǎng)絡(luò)安全技術(shù)-入侵檢測(cè)技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)入侵檢測(cè)(IntrusionDetection)對(duì)入侵行為(任何企圖破壞資源的完整性、保密性和有效性的行為)的發(fā)覺。入侵檢測(cè)入侵檢測(cè)技術(shù)根據(jù)入侵檢測(cè)的數(shù)據(jù)源基于主機(jī)的入侵檢測(cè)基于網(wǎng)絡(luò)的入侵檢測(cè)混合型入侵檢測(cè)按照檢測(cè)方法異常檢測(cè)誤用檢測(cè)按時(shí)間實(shí)時(shí)入侵檢測(cè)定時(shí)入侵檢測(cè)(事后入侵檢測(cè))按照系統(tǒng)體系結(jié)構(gòu)集中式IDS分布式IDS入侵檢測(cè)分類入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)分類主機(jī)入侵檢測(cè)數(shù)據(jù)來源于主機(jī)系統(tǒng)，通常是系統(tǒng)日志和審計(jì)記錄通過對(duì)系統(tǒng)日志和審計(jì)記錄的不斷監(jiān)控和分析來發(fā)現(xiàn)攻擊后的誤操作優(yōu)點(diǎn)：針對(duì)不同的操作系統(tǒng)捕獲應(yīng)用層入侵、誤報(bào)少缺點(diǎn)：依賴于主機(jī)及其審計(jì)子系統(tǒng)入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)分類網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)來源與網(wǎng)絡(luò)上的數(shù)據(jù)流能夠截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與庫中已知的攻擊簽名相比較，已達(dá)到檢測(cè)目的優(yōu)點(diǎn):偵測(cè)速度快、隱蔽性好，不易受到攻擊，資源消耗少缺點(diǎn):誤報(bào)率較高入侵檢測(cè)技術(shù)(1)誤用檢測(cè):誤用檢測(cè)是根據(jù)己知的攻擊方法，預(yù)先定義入侵特征，通過判斷這此特征是否出現(xiàn)來完成檢測(cè)任務(wù)。

(2)異常檢測(cè):異常檢測(cè)是根據(jù)用戶的行為或資源的使用狀況的正常程度來判斷是否屬于入侵。

入侵檢測(cè)方法入侵檢測(cè)技術(shù)用于誤用入侵檢測(cè)的技術(shù)模式匹配技術(shù)，專家系統(tǒng)，特征分析方法，Petri網(wǎng)、狀態(tài)轉(zhuǎn)移分析用于異常入侵檢測(cè)的技術(shù)統(tǒng)計(jì)分析，神經(jīng)網(wǎng)絡(luò)，數(shù)據(jù)挖掘方法入侵檢測(cè)方法入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)指標(biāo)參數(shù)誤報(bào)率漏報(bào)率（1）誤報(bào)(falsepositive)：實(shí)際無害的事件卻被IDS檢測(cè)為攻擊事件。（2）漏報(bào)(falsenegative)：一個(gè)攻擊事件未被IDS檢測(cè)到或被分析人員認(rèn)為是無害的。入侵檢測(cè)技術(shù)入侵防御系統(tǒng)一種主動(dòng)積極的網(wǎng)絡(luò)防護(hù)系統(tǒng)，當(dāng)發(fā)現(xiàn)攻擊企圖后，會(huì)將攻擊包丟掉或采取阻斷措施，實(shí)現(xiàn)對(duì)系統(tǒng)的實(shí)時(shí)防護(hù)，是一種積極的、主動(dòng)的入侵防范和阻止系統(tǒng)。入侵防御系統(tǒng)入侵檢測(cè)技術(shù)入侵防御系統(tǒng)工作原理分類過濾器1過濾器2過濾器n阻斷數(shù)據(jù)流…丟棄通過入侵檢測(cè)技術(shù)基于主機(jī)的入侵防御系統(tǒng)(HIPS)基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(NIPS)應(yīng)用入侵防御系統(tǒng)(AIPS)入侵防御系統(tǒng)的分類入侵檢測(cè)