入侵檢測技術介紹

入侵檢測是一種動態的網絡安全技術，注重的是網絡安全狀況的監管，其核心價值在于通過對全網信息的分析，了解信息系統的安全狀況。入侵檢測不僅能檢測來自外部的攻擊或入侵，也能檢測內部授權用戶的活動是否存在異常。

分享至

我想評論

1 入侵檢測技術定義

入侵檢測（intrusion Detection）是一種動態的網絡安全技術，通過各種檢測引擎，實時或定期地對網絡中的信息進行分析，依照引擎對異常的數據或事件的認識，識別出具有威脅性的數據或事件，并啟動相應的防護機制，以保證網絡系統資源的機密性、完整性和可用性。

入侵檢測不僅能檢測來自外部的攻擊或入侵，也能檢測內部授權用戶的活動是否存在異常。

2 入侵檢測技術原理

入侵檢測提供了發現入侵攻擊與合法用戶濫用特權的方法，其應用前提是認為入侵行為和合法行為是可區分的，即可以通過提取行為的特征來判斷該行為是否合法。提取并分析行為特征的方法主要包括以下兩種：

● 異常檢測技術：將過去學習到的正常行為進行收集、分析，并建立正常行為模型。提取當前行為特征與正常行為模型進行匹配，匹配成功則認為是合法行為，否則將被判定為入侵行為。

● 誤用檢測技術：對過去各種已知入侵方法和系統缺陷知識進行積累、分析，然后建立異常行為特征庫。提取當前行為特征與異常行為特征進行匹配，匹配成功將被判定為入侵行為。

入侵檢測過程如下：

(1) 數據提取：對網絡流量、用戶行為進行信息收集、整理。

(2) 特征分析：將提取的數據與特征庫中的行為特征進行對比分析匹配，從而判斷哪些是異常行為、哪些是正常行為。

(3) 響應處置：對異常的行為進行處置，如告警、記錄日志等。

3 入侵檢測系統分類

入侵檢測系統（intrusion Detection System，簡稱IDS）是指具有入侵檢測功能的軟件或硬件。根據檢測數據來源的不同，IDS系統分類如下表所示。

	基于主機的IDS	基于網絡的IDS
定義	通過對系統日志、系統調用、端口調用、審計記錄等信息的不斷監控來發現異常訪問行為	通過截獲網絡中的數據包，并提取特征與行為特征庫中的特征對比，從而識別行為
檢測數據來源	主機	網絡
檢測數據對象	系統日志、系統調用、端口調用、審計記錄等	網絡上的數據包
優點	監測范圍較小，誤報少	監測范圍較廣、偵測速度快、資源消耗少
缺點	依賴主機及其審計子系統	誤報率較高

基于網絡和基于主機的入侵檢測系統都有不足之處，會造成防御體系的不完善。隨著網絡技術的發展，混合型IDS應時而生，它綜合了基于網絡和基于主機的混合型入侵檢測系統的特點，既可以發現網絡中的攻擊信息，也可以從系統日志中發現異常情況。

4 IDS與IPS、防火墻的區別

如果將網絡空間比喻成一個大廈，那么防火墻相當于門鎖，有效隔離內外網或不同安全域；IDS相當于監視系統，當有問題發生時及時產生警報；而IPS則是巡視和保證大廈安全的安保人員，能夠根據經驗，主動發現問題并采取措施。

三者在網絡中相互配合，各司其職。實際使用中，需要根據具體網絡需求進行評估和選擇，有效發揮各設備優勢，盡量避免缺點和不足，保證網絡的安全運行。

對比項	IDS	IPS	防火墻
概念	審計類產品	訪問控制類產品	訪問控制類產品
保護內容	入侵檢測，針對網絡5-7層的應用保護	入侵防御，針對網絡5-7層的應用保護	應用在轉發、內網保護（NAT）、流控、過濾等方面，針對網絡3-4層的保護
部署位置	通常采用旁路接入，部署在盡可能靠近攻擊源、盡可能靠近受保護資源的位置	通常采用串行接入，部署在內外網連接處或重要服務器集群前端	通常采用串行接入，部署在網絡邊界，用來隔離內外網
工作機制	針對已發生的攻擊事件或異常行為進行處理，屬于被動防護	針對攻擊事件或異常行為可提前感知及預防，屬于主動防護	通過策略五要素（源IP、目的IP、端口、協議、應用等，各廠商定義不同，會有所擴展）實現對網絡的訪問控制