概念

通过观察行为、安全日志或审计数据来检测入侵的技术,是通过从计算机网络或计算机系统中的若干关键点收集信息并对其分析,从而检测网络或系统是否有违反安全策略的行为和被攻击的迹象。

入侵检测的内容包括:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄露、独占资源以及恶意使用。

分类

从检测的数据来源,可分为:

  • 网络入侵检测系统 (Network-based IDS, NIDS): 部署在网络的战略位置,例如路由器或交换机后面,监控网络流量。它可以检测到针对整个网络的攻击。
  • 主机入侵检测系统 (Host-based IDS, HIDS): 部署在单个主机上,监控主机的活动,例如文件访问、进程执行等。它可以检测到针对特定主机的攻击。

从技术上说,可分为:

  • 基于异常情况的检测技术:建立一个正常的网络流量模式的基线,然后监测偏离该基线的任何异常活动,如CPU利用率、内存利用率、文件校验和等。如果检测到异常,IDS 就会发出警报。这种方法的优点是可以检测到未知的攻击,缺点是误报率较高,需要仔细调整基线。
  • 基于标志的检测技术:依靠预定义的攻击签名(特征)来识别已知的攻击。当网络流量与这些签名匹配时,IDS 就会发出警报。这种方法的优点是准确率高,缺点是无法检测到未知的攻击。

过程

1、入侵信息的收集
收集的内容包括系统、网络、数据及用户活动中的状态和行为。
入侵检测很大程度上依赖于收集信息的可靠性与正确性,因此
2、信号分析
3、入侵检测响应