入侵檢測模型與方法

① IDS入侵檢測系統的方法有幾種

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計 數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

② 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

③ 簡述入侵檢測的過程

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為。

是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。

誤用入侵檢測的主要假設是具有能夠被精確地按某種方式編碼的攻擊。通過捕獲攻擊及重新整理，可確認入侵活動是基於同一弱點進行攻擊的入侵方法的變種。誤用入侵檢測主要的局限性是僅僅可檢測已知的弱點．對檢測未知的入侵可能用處不大。

入侵檢測的原理：

異常入侵檢測原理構築異常檢測原理的入侵檢測系統，首先要建立系統或用戶的正常行為模式庫，不屬於該庫的行為被視為異常行為。但是，入侵性活動並不總是與異常活動相符合，而是存在下列4種可能性：入侵性非異常；非入侵性且異常；非入侵性非異常；入侵性且異常。

設置異常的門檻值不當，往往會導致IDS許多誤報警或者漏檢的現象。IDS給安全管理員造成了系統安全假象，漏檢對於重要的安全系統來說是相當危險的。

以上內容參考：網路-入侵檢測

④ 入侵檢測系統異常檢測方法有什麼

入侵檢測技術基礎 1. IDS（入侵檢測系統）存在與發展的必然性 （1）網路安全本身的復雜性，被動式的防禦方式顯得力不從心。（2）有關供觸垛吠艹杜訛森番緝防火牆：網路邊界的設備；自身可以被攻破；對某些攻擊保護很弱；並非所有威脅均來自防火牆外部。（3）入侵很容易：入侵教程隨處可見；各種工具唾手可得 2. 入侵檢測（Intrusion Detection） ●定義：通過從計算機網路或計算機系統中的若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測的分類（1）按照分析方法/檢測原理分類 ●異常檢測（Anomaly Detection）：基於統計分析原理。首先總結正常操作應該具有的特徵（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵。前提：入侵是異常活動的子集。指標：漏報率低，誤報率高。用戶輪廓(Profile)：通常定義為各種行為參數及其閥值的集合，用於描述正常行為范圍。特點：異常檢測系統的效率取決於用戶輪廓的完備性和監控的頻率；不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源 ●誤用檢測（Misuse Detection）：基於模式匹配原理。收集非正常操作的行為特徵，建立相關的特徵庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特徵。指標：誤報低、漏報高。攻擊特徵庫：當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。特點：採用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特徵的細微變化，會使得誤用檢測無能為力。

⑤ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測系統（Intrusion-detection system，下稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。 我們做一個形象的比喻：假如防火牆是一幢大樓的門衛，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類。根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是： ·伺服器區域的交換機上 ·Internet接入路由器之後的第一台交換機上 ·重點保護網段的區域網交換機上 由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。系統分類根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。

⑥ 什麼是入侵檢測，入侵檢測技術可以分為哪兩類

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。
入侵檢測方法很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。
入侵檢測系統目前存在的問題:
1.
現有的入侵檢測系統檢測速度遠小於網路傳輸速度,
導致誤報率和漏報率
2.
入侵檢測產品和其它網路安全產品結合問題,
即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3.
基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測,
並且其本身構建易受攻擊
4.
入侵檢測系統體系結構問題
發展趨勢:
1.
基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2.
入侵檢測標準的研究,
目前缺乏統一標准
3.
寬頻高速網路實時入侵檢測技術
4.
智能入侵檢測
5.
入侵檢測的測度

⑦ 什麼是異常入侵檢測

異常入侵檢測，檢測所有從網路到本地的鏈接等並發現不正常的、有入侵傾向的鏈接並阻止。

IETF將一個入侵檢測系統分為四個組件：

事件產生器（Event generators），它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

事件分析器（Event analyzers），它經過分析得到數據，並產生分析結果。

響應單元（Response units ），它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

事件資料庫（Event databases ）事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

安全策略

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。

但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

以上內容參考：網路-異常入侵檢測、網路-入侵檢測系統

⑧ 入侵檢測系統的檢測方法

在異常入侵檢測系統中常常採用以下幾種檢測方法： 基於貝葉斯推理檢測法：是通過在任何給定的時刻，測量變數值，推理判斷系統是否發生入侵事件。 基於特徵選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預測或分類。 基於貝葉斯網路檢測法：用圖形方式表示隨機變數之間的關系。通過指定的與鄰接節點相關一個小的概率集來計算隨機變數的聯接概率分布。按給定全部節點組合，所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網路是一個有向圖，弧表示父、子結點之間的依賴關系。當隨機變數的值變為已知時，就允許將它吸收為證據，為其他的剩餘隨機變數條件值判斷提供計算框架。
基於模式預測的檢測法：事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式預測的異常檢測法的假設條件，其特點是事件序列及相互聯系被考慮到了，只關心少數相關安全事件是該檢測法的最大優點。 基於統計的異常檢測法：是根據用戶對象的活動為每個用戶都建立一個特徵輪廓表，通過對當前特徵與以前已經建立的特徵進行比較，來判斷當前行為的異常性。用戶特徵輪廓表要根據審計記錄情況不斷更新，其保護去多衡量指標，這些指標值要根據經驗值或一段時間內的統計而得到。 基於機器學習檢測法：是根據離散數據臨時序列學習獲得網路、系統和個體的行為特徵，並提出了一個實例學習法IBL，IBL是基於相似度，該方法通過新的序列相似度計算將原始數據（如離散事件流和無序的記錄）轉化成可度量的空間。然後，應用IBL學習技術和一種新的基於序列的分類方法，發現異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。
數據挖掘檢測法：數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網路中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發現記錄中的異常現象是遠遠不夠的，所以將數據挖掘技術應用於入侵檢測中，可以從審計數據中提取有用的知識，然後用這些知識區檢測異常入侵和已知的入侵。採用的方法有KDD演算法，其優點是善於處理大量數據的能力與數據關聯分析的能力，但是實時性較差。
基於應用模式的異常檢測法：該方法是根據服務請求類型、服務請求長度、服務請求包大小分布計算網路服務的異常值。通過實時計算的異常值和所訓練的閾值比較，從而發現異常行為。
基於文本分類的異常檢測法：該方法是將系統產生的進程調用集合轉換為「文檔」。利用K鄰聚類文本分類演算法，計算文檔的相似性。 誤用入侵檢測系統中常用的檢測方法有： 模式匹配法：是常常被用於入侵檢測技術中。它是通過把收集到的信息與網路入侵和系統誤用模式資料庫中的已知信息進行比較，從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔，有較高的檢測率和准確率。 專家系統法：這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理演算法檢測入侵。主要是針對有特徵的入侵行為。 基於狀態轉移分析的檢測法：該方法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定的關聯的過程。在網路中發生入侵時及時阻斷入侵行為，防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。

⑨ 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(9)入侵檢測模型與方法擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。