入侵檢測基於數據分析方法

『壹』 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(1)入侵檢測基於數據分析方法擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

『貳』 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

『叄』 什麼是ids!

IDS是指入侵檢測系統。

入侵檢測系統是一種用於監控網路和計算機系統，以檢測可能對網路和系統造成損害的行為的安全工具。其主要功能是實時監控網路流量和系統的活動，尋找潛在的安全威脅和異常行為。IDS能夠分析網路流量、日誌文件、系統調用等數據源，並根據這些數據的模式匹配、統計分析等方法來判斷是否存在入侵行為。當IDS檢測到可疑行為時，會發出警報，並採取相應的措施，如封鎖攻擊源、記錄攻擊軌跡等。

入侵檢測系統的詳細解釋：

1. 基本功能：IDS的核心功能是實時監控網路流量和系統的活動，識別出與已知攻擊模式相匹配的行為或異常活動。這些攻擊模式可以包括惡意軟體的通信模式、異常的登錄嘗試等。

2. 數據來源：IDS的數據來源非常廣泛，包括網路流量數據、系統日誌文件、用戶行為數據等。通過對這些數據的分析，IDS可以判斷網路或系統是否受到攻擊。

3. 檢測方法：IDS採用多種檢測方法來識別攻擊。常見的檢測方法包括模式匹配、統計分析、行為分析等。模式匹配是通過匹配已知的攻擊簽名來檢測攻擊；統計分析則是通過分析網路流量的正常模式來識別異常行為；行為分析則是通過分析系統的行為來判斷是否存在惡意行為。

4. 重要性：IDS對於網路安全至關重要。它可以幫助企業和組織及時發現並應對網路攻擊，減少潛在的安全風險。同時，IDS還可以幫助企業和組織了解自身的網路安全狀況，優化安全策略，提高網路安全防護能力。

總的來說，入侵檢測系統是一種重要的網路安全工具，它可以幫助企業和組織保護其網路和系統的安全，及時發現並應對潛在的安全威脅。