1、IDES（入侵檢測專家系統(tǒng)）入侵檢測(Intrusion Detection )從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭受攻擊的跡象的一種安全技術(shù)。入侵檢測系統(tǒng)（IDS ）使用入侵檢測技術(shù)對網(wǎng)絡(luò)與其上的系統(tǒng)進(jìn)行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動作，最大限度地降低可能的入侵危害。入侵檢測系統(tǒng)基本上不具有訪問控制的能力入侵檢測系統(tǒng)可以在攻擊的前期準(zhǔn)備時期或是在攻擊剛剛開始的時候進(jìn)行確認(rèn)并發(fā)出警報。入侵檢測一般采用旁路偵聽的機(jī)制，因此不會產(chǎn)生對網(wǎng)絡(luò)帶寬的大量占用. 入侵檢測系統(tǒng)的單獨(dú)使用不能起到保護(hù)網(wǎng)絡(luò)的作用，也不能獨(dú)立地防止

2、任何一種攻擊.通常包括以下功能部件:信息采集 信息分析 攻擊響應(yīng)IDS 功能: l 監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)訪問；l 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；l 識別已知的攻擊行為；l 統(tǒng)計(jì)分析異常行為；l 操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。入 侵 檢 測的方 法:異 常 檢 測 和誤用檢測。一、異常檢測方法：(1)事先建立被檢測系統(tǒng)的正常行為模型;(2)通過比較當(dāng)前行為與正常行為的偏差來檢測異常行為。二、誤用檢測 (1)它根據(jù)事先定義入侵模式;(2)通過判斷這些入侵模式是否出現(xiàn)來檢測入侵行為。入侵檢測技術(shù)分類：從分析數(shù)據(jù)來源的角度，入侵檢測系統(tǒng)可分為

3、基于日志和基于數(shù)據(jù)包的兩種。信息采集：(1)系統(tǒng)日志文件信息(2) 目錄和文件的完整性信息(3)程序執(zhí)行中的異常行為(4)物理形式的入侵信息信息分析：（1） 模式識別：在系統(tǒng)運(yùn)行時,將采集到的行為信息與入侵模式庫中已知的網(wǎng)絡(luò)入侵模式和特征進(jìn)行比較，從而識別出違反安全策略的行為。優(yōu)點(diǎn)：具有較高的識別精度和執(zhí)行效率，缺點(diǎn)：不能檢測到未知的攻擊模式，并且需要不斷的升級和維護(hù)入侵模式庫。（2）統(tǒng)計(jì)分析；系統(tǒng)運(yùn)行時，測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。優(yōu)點(diǎn):可檢測到未知的和復(fù)雜的入侵行為;缺點(diǎn): 誤報率和漏報率比較高，并且不適應(yīng)用戶正

4、常行為的突然改變和軟件系統(tǒng)版本更換或升級。（2） 完整性分析：首先使用MD5、SHA等散列函數(shù)計(jì)算被檢測對象(如文件或目錄內(nèi)容和屬性)的散列值。在系統(tǒng)運(yùn)行時，將采集到的完整性信息與散列值進(jìn)行比較。優(yōu)點(diǎn)：能夠識別被檢測對象( 應(yīng)用程序和數(shù)據(jù)如網(wǎng)頁內(nèi)容)的微小變化。缺點(diǎn)：一般采用批處理方式實(shí)現(xiàn)，不能用于實(shí)時響應(yīng)。攻擊響應(yīng)方法主要有如下幾種： 發(fā)出警報：發(fā)短信,E-MAIL,聲音報警等方式 終止連接：立即終止這個邏輯連接，盡量減少攻擊所帶來的系統(tǒng)損失。 斷開鏈路：斷開該系統(tǒng)的網(wǎng)絡(luò)物理鏈路 引入陷阱：系統(tǒng)切換到一個“空”系統(tǒng)上以便收集攻擊者信息，追蹤攻擊者的蹤跡。入侵檢測的分析方法：異常檢測，誤用檢測

5、異常檢測技術(shù)先定義一組系統(tǒng)正?；顒拥拈撝担鏑PU利用率、內(nèi)存利用率、文件校驗(yàn)和等，這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)，用統(tǒng)計(jì)的辦法得出，然后將系統(tǒng)運(yùn)行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何分析系統(tǒng)運(yùn)行情況。異常檢測：誤報 漏報優(yōu)點(diǎn)：能夠檢測出新的網(wǎng)絡(luò)入侵方法的攻擊；較少依賴于特定的主機(jī)操作系統(tǒng)；對于內(nèi)部合法用戶的越權(quán)違法行為的檢測能力較強(qiáng)。不足：誤報率高；行為模型建立困難；難以對入侵行為進(jìn)行分類和命名。異常檢測技術(shù)分類：（1）統(tǒng)計(jì)分析異常檢測（異常閾值難以確定、對事件發(fā)生的次序不敏感）（2）貝葉斯推理異常檢測（3 ）神經(jīng)網(wǎng)絡(luò)異常檢測（4

6、）模式預(yù)測異常檢測（5 ）數(shù)據(jù)采掘異常檢測（6 ）機(jī)器學(xué)習(xí)異常檢測誤用檢測技術(shù)基于知識的檢測誤用檢測技術(shù)基于知識的檢測：基本原理誤用檢測技術(shù)（Misuse Detection）也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)?；厩疤崾牵杭俣ㄋ锌赡艿娜肭中袨槎寄鼙蛔R別和表示。原理：假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。優(yōu)點(diǎn)：檢測準(zhǔn)確度高；技術(shù)相對成熟；便于進(jìn)行系統(tǒng)防護(hù)。缺點(diǎn)：不能檢測出新的入侵行為；完全

7、依賴于入侵特征的有效性；維護(hù)特征庫的工作量巨大；難以檢測來自內(nèi)部用戶的攻擊。誤用檢測技術(shù)的分類：（1）專家系統(tǒng)誤用檢測（2）特征分析誤用檢測（3）模型推理誤用檢測（4）條件概率誤用檢測（5）鍵盤監(jiān)控誤用檢測異常檢測技術(shù)和誤用檢測技術(shù)的比較：入侵檢測系統(tǒng)必須不斷地學(xué)習(xí)并更新已有的行為輪廓?；谡`用檢測技術(shù)系統(tǒng)只有擁有所有可能的入侵行為的先驗(yàn)知識，而且必須能識別各種入侵行為的過程細(xì)節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，而這種情況也是不存在的。只能檢測出已有的入侵模式，必須不斷地對新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納。系統(tǒng)的配置方面，基于異常檢測技術(shù)系統(tǒng)通常比基于誤用檢測技術(shù)系統(tǒng)所做的工

8、作要少很多，因?yàn)楫惓z測需要對系統(tǒng)和用戶的行為輪廓進(jìn)行不斷的學(xué)習(xí)更新，需要大量的數(shù)據(jù)分析處理工作基于異常檢測技術(shù)系統(tǒng)所輸出的檢測結(jié)果，通常是在對實(shí)際行為與行為輪廓進(jìn)行異常分析等相關(guān)處理后得出的，這類入侵檢測系統(tǒng)的檢測報告通常會比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)具有更多的數(shù)據(jù)量，因?yàn)槿魏纬鲂袨檩喞秶氖录紝⒈粰z測出來并寫入報告中。從系統(tǒng)體系結(jié)構(gòu)上, 入侵檢測系統(tǒng)可以分成三種：基于主機(jī)的入侵檢測系統(tǒng)(HIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS) 基于智能代理的入侵檢測系統(tǒng)(AIDS)NIDS由檢測器、分析器、數(shù)據(jù)庫和響應(yīng)器組成。入侵檢測的部署點(diǎn)可以劃分為4個位置： DMZ區(qū)、外網(wǎng)入口、內(nèi)網(wǎng)主干

9、、關(guān)鍵子網(wǎng),DMZ優(yōu)點(diǎn)： 檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系；可以容易地檢測網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問題；DMZ區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；即使進(jìn)入的攻擊行為不可識別，入侵檢測系統(tǒng)經(jīng)過正確的配置也可以從被攻擊主機(jī)的反饋中獲得受到攻擊的信息。入侵檢測系統(tǒng)的局限性：（1）入侵檢測系統(tǒng)無法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。（2）對于高負(fù)載的網(wǎng)絡(luò)或主機(jī)，很難實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的實(shí)時檢測、報警和迅速地進(jìn)行攻擊響應(yīng)。3）基于知識的入侵檢測系統(tǒng)很難檢測到未知的攻擊行為（4）入侵檢測系統(tǒng)的主動防御能和聯(lián)動防御功能會對網(wǎng)絡(luò)的行為產(chǎn)生影