什么是系統(tǒng)入侵檢測

入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡(luò)，上可以獲得的信息以及系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此它被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動:系統(tǒng)構(gòu)造和弱點的審計:識別反映已知進(jìn)攻的活動模式，并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測( Signature based Detection)與異常檢測(Anomaly Detection)兩種。

(1)特征檢測。特征檢測又稱Misuse Detection, 它假設(shè)入侵者活動可以用一 種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設(shè)計模式，既能夠表達(dá)"入侵"現(xiàn)象，又不會將正常的活動包含進(jìn)來。

(2)異常檢測。異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正常活動的"活動簡檔"，將當(dāng)前主體的活動狀況與"活動簡檔"相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是"入侵"行為。異常檢測的難題在于如何建立"活動簡檔"以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為"入侵"行為，又不忽略真正的"入侵"行為。