入侵检测的类型有哪些？入侵检测系统常用的检测方法

本文目录

• 入侵检测的类型有哪些
• 入侵检测系统常用的检测方法
• 入侵检测系统的主要功能
• 入侵检测系统的主要功能是什么
• 入侵检测是检测什么
• 入侵检测概念、过程分析和布署
• 入侵检测系统IDS是什么，入侵检测系统的原理是什么
• 简述入侵检测的过程
• 入侵检测系统常用的两种检测技术是异常检测和误用检测，请简述两种检测技术的原理
• 入侵检测系统基本知识

入侵检测的类型有哪些

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

扩展资料：

对IDS的要求：

IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。

百度百科-入侵检测

入侵检测系统常用的检测方法

入侵检测系统（Intrusion Detection System，IDS）是用于检测网络或系统中未经授权的活动的软件或硬件系统。常用的检测方法包括：1.基于规则的检测：基于规则的检测方法使用预定义的规则来检测攻击行为。例如，如果检测到网络流量中存在特定的字符串，则可以认为发生了攻击。2.基于模式的检测：基于模式的检测方法使用预定义的模式来检测攻击行为。例如，如果检测到网络流量中的数据包的特定模式，则可以认为发生了攻击。3.基于统计的检测：基于统计的检测方法使用统计分析来检测攻击行为。例如，如果检测到网络流量中的数据包数量超出正常范围，则可以认为发生了攻击。4.基于行为的检测：基于行为的检测方法使用系统或网络的正常行为作为基准，通过对比来检测异常行为。例如，如果检测到系统文件被修改或删除，则可以认为发生了攻击。

入侵检测系统的主要功能

入侵检测系统主要具有以下功能：

• 信息收集：入侵检测系统通过收集各种日志信息，包括系统日志、网络流量数据、应用程序日志等，来了解系统的运行状态。这些信息可以帮助系统管理员了解系统的安全状况，以及是否存在违反安全策略的行为。
• 模式识别：入侵检测系统通过分析收集到的信息，识别出可能存在的入侵行为模式。这些模式通常是通过已知的攻击方法和系统漏洞得出的。系统管理员可以根据这些模式，对可能存在的入侵行为进行预警和响应。
• 实时监测：入侵检测系统通常会实时监测网络或系统中的关键信息，以便及时发现违反安全策略的行为。一旦发现可疑行为，系统会立即发出警告，并可以根据预设的响应规则采取相应的措施，如阻断攻击、记录事件等。

入侵检测系统的主要功能是什么

主要功能是：

(1)监视、分析用户及系统活动。

(2)对系统构造和弱点的审计。

(3)识别反映已知进攻的活动模式并报警。

(4)异常行为模式的统计分析。

(5)评估重要系统和数据文件的完整性。

(6)对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

扩展资料

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高；误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。

参考资料来源：百度百科-入侵检测系统

入侵检测是检测什么

入侵检测的内容主要包括独占资源、恶意用户、试图闯入或成功闯入的攻击者、冒充其他用户、违反安全策略的合法用户或造成信息泄露的合法用户等。是入侵检测的主要内容。

入侵检测是防火墙的合理补充，帮助系统应对网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监控、攻击识别和响应），提高信息安全基础设施的完整性。它从计算机网络系统中的多个关键点收集信息，并分析这些信息，以查看网络中是否存在任何违反安全策略的行为和攻击迹象。入侵检测被认为是防火墙之后的第二道安全闸门，可以在不影响网络性能的情况下对网络进行监控，从而对内部攻击、外部攻击和误操作提供实时保护。

入侵检测概念、过程分析和布署

1、入侵检测的基本概念 　　入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标GB/T18336）。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行募际酢＝腥肭旨觳獾娜砑胗布淖楹媳闶侨肭旨觳庀低常:up-left_arrow:ntrusion Detection System，简称IDS）。 2、入侵检测系统的发展历史 　　1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES（Intrusion Detection Expert Systems入侵检测专家系统），是第一个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。1989年，加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。 3、系统模型 　　为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。 　　CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event generators），用E盒表示；事件分析器（Event analyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Event databases），用D盒表示。 4、分类4.1 按照检测类型划分 从技术上划分，入侵检测有两种检测模型： （1）异常检测模型（Anomaly Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 （2）误用检测模型（Misuse Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。 4.2 按照检测对象划分 　　基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。 　　基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。 　　混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。 5、入侵检测过程分析 过程分为三部分：信息收集、信息分析和结果处理。 （1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 （2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 （3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 6、IDS部署实例 　　ISS（Internet　Security　Systems）RealSecure的部署图，RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows　2000上。RealSecure的传感器是自治的，能被许多控制台控制。各部分的功能如下： （1）ReaISecure控制台：对多台网络传感器和服务器代理进行管理；对被管理传感器进行远程的配置和控制；各个监控器发现的安全事件实时地报告控制台。 （2）Network　Sensor（网络引擎）：对网络进行监听并自动对可疑行为进行响应，程度保护网络安全；运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。 （3）Server　Sensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。 7、发展趋势 　　对分析技术加以改进：采用当前的分析技术和模型，会产生大量的误报和漏报，难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后，可极大地提高检测效率和准确性，从而对真正的攻击做出反应。协议分析是目前最先进的检测技术，通过对数据包进行结构化协议分析来识别入侵企图和行为，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能；行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效，是入侵检测技术发展的趋势。 　　增进对大流量网络的处理能力：随着网络流量的不断增长，对获得的数据进行实时分析的难度加大，这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。 　　向高度可集成性发展：集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包，当发现某台设备出现问题时，可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。

入侵检测系统IDS是什么，入侵检测系统的原理是什么

入侵检测系统(IDS)是对网络传输进行实时监控的一种安全保障。不同于传统的网络安全设备，当检测到外星入侵者时，会立即报警并采取积极的应对措施。而且他内置了入侵知识库，对网络上的流量特征进行收集和分析，一旦在高合规或者大流量的情况下，会立即预警或者反击。

一、入侵检测系统的工作

入侵检测系统简称IDS。IDS主要分为两部分:检测引擎和控制中心。检测引擎用于分析和读取数据。当控制中心接收到一个来自伊宁的数据时，会对数据进行过滤，进行检测分析，如果有威胁会立即报警。一些正常用户的异常检测行为，偏离了正常的活动规律，也会被视为攻击企图，会立即产生状态信号。IDS就像是对金库的监控。一旦有人准备入侵监控，或者在门前做了什么，就会被自己的控制中心检测到。

二、入侵检测系统的原理

入侵检测系统IDS，首先是别人入侵检测系统的系统日志，会记录黑客或者未知访客的踪迹，他们做了什么，对文件和程序的一些改动，上传给上层进行分析。经过分析，如果出了问题，就会发现探测器本身的完整性。这是IDS事后做出的检测行为。如果不对，它会立即报警。

第三，入侵检测系统存在的问题

IDS本身无法检测新的入侵方式，对网络的限制导致了其自身的局限性。而且，它也不能把机密数据处理掉，直接放走。它受到服务器内存和硬盘的严重制约，因为一个它能记录的现象能及时发现，没有记录就发现不了。因为内存的原因，它能使用的内存是有限的。

以上就是有关于入侵检测系统IDS是什么，入侵检测系统的原理是什么？的相关回答了，你了解了吗

简述入侵检测的过程

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为。

是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点．对检测未知的入侵可能用处不大。

入侵检测的原理：

异常入侵检测原理构筑异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库，不属于该库的行为被视为异常行为。但是，入侵性活动并不总是与异常活动相符合，而是存在下列4种可能性：入侵性非异常；非入侵性且异常；非入侵性非异常；入侵性且异常。

设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检的现象。IDS给安全管理员造成了系统安全假象，漏检对于重要的安全系统来说是相当危险的。

以上内容参考：百度百科-入侵检测

入侵检测系统常用的两种检测技术是异常检测和误用检测，请简述两种检测技术的原理

【答案】：（1）异常检测：也称基于行为的检测，把用户习惯行为特征存入特征库，将用户当前行为特征与特征数据库中存放的特征比较，若偏差较大，则认为出现异常。（2）误用检测：通常由安全专家根据对攻击特征、系统漏洞进行分析形成攻击模式库，然后手工的编写相应的检测规则、特征模型 异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为库，然后与系统运行行为相比较，判断是否入侵。误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。

入侵检测系统基本知识

入侵检测，顾名思义，就是对入侵行为的发现。入侵检测系统（Intrusion DetectionSystem，IDS）就是能够完成入侵检测功能的计算机软硬件系统。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测技术从计算机系统中的若干个节点获取不同信息，然后对数据进行分析，判定是否有违反安全策略的行为，从而对这些行为进行不同级别的告警。 入侵检测是一种能够积极主动地对网络进行保护的方法。由于攻击行为可以从外部网络发起，也可以从内部发起，还包括合法内部人员由于失误操作导致的虚假攻击，入侵检测会对以上三个方面进行分析。 如果发现网络有受到攻击的迹象，那么就会对该行为做出相应的处理。入侵检测技术在监控网络的同时对网络的性能影响不大。可以简单地把入侵检测技术理解为一个有着丰富经验的网络侦查员，任务就是分析系统中的可疑信息，并进行相应的处理。入侵检测系统是一个相对主动的安全部件，可以把入侵检测看成网络防火墙的有效补充。 入侵检测技术的主要作用体现以下这些方面： 入侵检测系统一般不采取预防的措施来防止入侵事件的发生。入侵检测作为安全技术，主要目的有：