入侵检测技术（入侵监测的主要技术有）

本文目录

• 入侵监测的主要技术有
• 入侵检测技术分类
• 入侵检测技术的分类有哪些
• 简述入侵检测常用的四种方法
• 入侵检测技术分为哪两种
• 什么是入侵检测
• 知识：动态入侵检测技术IDS

入侵监测的主要技术有

入侵监测主要技术有以下几种：

1、网络入侵检测系统：通过网络流量分析和异常行为检测，识别和监测网络中的入侵行为。包括基于特征的IDS和基于机器学习的IDS。

2、主机入侵检测系统：针对单个主机或服务器进行监测，通过监控操作系统和应用程序的日志和事件，以及文件和注册表的变动，来发现异常行为和入侵。

3、入侵防御系统：不仅可以检测入侵行为，还可以主动阻拦和预防入侵。在IDS基础上增加了防御和应对措施。

4、行为分析：通过对系统用户和网络流量行为的分析，识别并监控异常行为和入侵行为。

5、异常检测：建立正常行为和异常行为的模型，通过对比实际行为和模型之间的差异，检测出潜在的入侵。

6、签名检测：基于已经知道的入侵行为的特征来进行检测和监测，比如病毒库。

7、数据包分析：对网络数据包进行分析，检测并识别出异常或恶意的网络流量，从而发现可能的入侵。

8、认证和访问控制：通过身份验证和访问控制策略，限制和控制不当的访问和权限，提升系统的安全性。

入侵检测常用的四种方法

1、签名检测：签名检测是基于已知的攻击行为的特征来进行检测和识别的方法。这些签名是事先定义好的，通常是由安全专家或安全厂商提供的针对已知攻击的规则集合。当监测到网络流量或主机行为与签名匹配时，会触发警报或采取相应的防御措施。

2、异常检测：异常检测是通过建立正常行为模型，监测和识别与模型之间的差异来发现潜在的入侵行为。它不依赖于已知的攻击特征，而是通过分析用户行为、网络流量、系统日志等来检测异常或异常行为。

3、行为分析：行为分析是通过对系统用户和网络流量行为的分析，识别和监测异常行为和入侵行为。它可以通过设定阈值或使用机器学习等方法来判断行为是否异常，从而发现潜在的入侵。

4、主机入侵检测系统和网络入侵检测系统：HIDS和IDS是两种常用的入侵检测方法。HIDS主要通过监控单个主机或服务器的操作系统和应用程序的日志和事件、文件和注册表的变动等来发现异常行为和入侵。IDS则通过分析网络流量和异常行为来识别和监测网络中的入侵行为。

入侵检测技术分类

根据系统各个模块运行的分布不同，可以将入侵检测系统分为如下两类。 （1）集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行，这种方式适用于网络环境比较简单的情况。 （2）分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机和设备上，分布性主要体现在数据收集模块上，如果网络环境比较复杂或数据流量较大，那么数据分析模块也会分布，按照层次性的原则进行组织。 入侵检测的对象，即要检测的数据来源，根据要检测的对象的不同，可将其分为基于主机的IDS和基于网络的IDS。也有人说这种分类是按照入侵检测的数据来源分类。 （1）基于主机的IDS，英文为Host-besed IDS，行业上称之为HDS。这种IDS系统获取数据的来源是主机。它主要是从系统日志、应用程序日志等渠道来获取数据，进行分析后来判断是否有入侵行为，以保护系统主机的安全。 （2）基于网络的IDS，英文为Network-based IDS，行业上称之为NIDS，系统获取数据的来源是网络数据包。它主要是用来监测整个网络中所传输的数据包并进行检测与分析，再加以识别，若发现有可疑情况即入侵行为立即报警，来保护网络中正在运行的各台计算机。 按照入侵检测系统所采用的技术可以将其分为异常检测、误用检测。

入侵检测技术的分类有哪些

技术划分

（1）异常检测模型（AnomalyDetection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

（2）误用检测模型（MisuseDetection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

拓展：

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

扩展资料

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

入侵检测技术分为哪两种

入侵检测技术分为特征入侵检测和异常入侵检测。

入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。

包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测提供了发现入侵攻击与合法用户滥用特权的方法，其应用前提是认为入侵行为和合法行为是可区分的，即可以通过提取行为的特征来判断该行为是否合法。提取并分析行为特征的方法主要包括以下两种：

● 异常检测技术：将过去学习到的正常行为进行收集、分析，并建立正常行为模型。提取当前行为特征与正常行为模型进行匹配，匹配成功则认为是合法行为，否则将被判定为入侵行为。

● 误用检测技术：对过去各种已知入侵方法和系统缺陷知识进行积累、分析，然后建立异常行为特征库。提取当前行为特征与异常行为特征进行匹配，匹配成功将被判定为入侵行为。

入侵检测过程如下：

(1) 数据提取：对网络流量、用户行为进行信息收集、整理。

(2) 特征分析：将提取的数据与特征库中的行为特征进行对比分析匹配，从而判断哪些是异常行为、哪些是正常行为。

(3) 响应处置：对异常的行为进行处置，如告警、记录日志等。

什么是入侵检测

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

检测步骤

(1)信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。

而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其他工具。

黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。

这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

(2)信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

知识：动态入侵检测技术IDS

入侵检测技术是当今一种非常重要的动态安全技术，如果与 “传统 ”的 静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。 　　1、入侵检测的内容。关于入侵检测的 “定义 ”已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。 　　目前，利用最新的可适应网络安全技术和P2DR(Policy Protection Detection Response)安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术：(1)异常发现技术。(2)模式发现技术。 　　目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。从具体工作方式上看，绝大多数入侵检测系统都采取两种不同的方式来进行入侵检测：基于网络和基于主机的。不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名(Attack Signature)。所谓攻击签名，就是用一种特定的方式来表示已知的攻击方式。 　　2.基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有：(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。 　　3.基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。 　　基于主机的IDS的主要优势有：(1)非常适用于加密和交换环境。(2)近实时的检测和应答。(3)不需要额外的硬件。 　　4.集成化:IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势，两者相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络，因此就无法通过基于网络的IDS检测到，只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标(header)来进行检测，而基于主机的IDS并不查看包首标。许多基于IP的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面，基于主机的IDS对基于网络的IDS是一个很好的补充，人们完全可以使用基于网络的IDS提供早期报警，而使用基于主机的IDS来验证攻击是否取得成功。 　　在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更加强大，而且部署和使用上也更加灵活方便。 　　5.选择合适的IDS。 　　这几年有关入侵检测的产品发展比较快，现在比较流行的入侵检测系统(IDS)也比较多，其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的检测方法。 　　NetRanger:与路由器结合。Cisco的NetRanger是当前性能的IDS之一。NetRanger使用一个引擎/控制模型，它几乎能够检测到当前已知的各种攻击。