什么是系統入侵檢測

入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網絡行為、安全日志、審計數據、其他網絡，上可以獲得的信息以及系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。因此它被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動:系統構造和弱點的審計:識別反映已知進攻的活動模式，并向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。入侵檢測系統所采用的技術可分為特征檢測( Signature based Detection)與異常檢測(Anomaly Detection)兩種。

(1)特征檢測。特征檢測又稱Misuse Detection, 它假設入侵者活動可以用一 種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式，既能夠表達"入侵"現象，又不會將正常的活動包含進來。

(2)異常檢測。異常檢測的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的"活動簡檔"，將當前主體的活動狀況與"活動簡檔"相比較，當違反其統計規律時，認為該活動可能是"入侵"行為。異常檢測的難題在于如何建立"活動簡檔"以及如何設計統計算法，從而不把正常的操作作為"入侵"行為，又不忽略真正的"入侵"行為。