兩種入侵檢測方法的區別

⑴ 什麼是入侵檢測，入侵檢測技術可以分為哪兩類

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。

入侵檢測方法很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。

入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。

入侵檢測系統目前存在的問題:
1. 現有的入侵檢測系統檢測速度遠小於網路傳輸速度, 導致誤報率和漏報率
2. 入侵檢測產品和其它網路安全產品結合問題, 即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3. 基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測, 並且其本身構建易受攻擊
4. 入侵檢測系統體系結構問題

發展趨勢:
1. 基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2. 入侵檢測標準的研究, 目前缺乏統一標准
3. 寬頻高速網路實時入侵檢測技術
4. 智能入侵檢測
5. 入侵檢測的測度

⑵ 對於入侵檢測，統計異常檢測方法和特徵選擇異常檢測方法有什麼區別

統計異常檢測的方法用的是特徵輪廓的異常值加權，而特徵選擇異常檢測方法用的是特徵空間構成入侵的子集來判斷是否入侵。

這里ai表示與度量Mi的相關權重。一般而言，變數M1,M2…Mi 不是相互獨立的，需要更復雜的函數處理其相關性。異常性測量值僅僅是數字，沒有明確的理論依據支持這種處理方式。例如，使用多個獨立的異常性變數作為結合的依據，概率計算在理論上是正確的。但是，異常性測量和貝葉斯概率計算之間的關系並不是很清晰的。常見的幾種測量類型通常包括：

• 活動強度測量： 描述活動處理速度。通常用作檢測突發性行為，而檢測不出這種長時期的平均行為效果；
• 審計記錄分布測量：描述最近審計記錄中所有活動類型分布狀況。如特定的用戶在整個系統使用中文件訪問和I/O活動分布；
• 類型測量：描述特定的活動在各種類型中的分布狀況。如在系統中，從各個物理位置來的遠程登錄相關頻度，每個郵件發送者、編譯器、shell、編輯器的相關使用；
• 順序測量：描述活動的輸出結果，以數字值來表示。如特定的用戶CPU和I/O使用總量。

統計異常檢測方法的優點是所應用的技術方法在統計學中已經得到很好的研究。例如，位於標准方差兩側的數據可認為是異常的。但統計入侵檢測系統有以下幾點不足：

• 統計測量對事件發生的次序不敏感，單純的統計入侵檢測系統可能不會發覺事件當中互相依次相連的入侵行為；
• 單純的統計入侵檢測系統將逐漸地訓練成單一點，要麼行為是異常的，要麼是正常的。入侵者如果知道他被這樣的異常檢測器監視，他可以誘導這個系統，使得那些大部分依靠行為統計測量的入侵檢測方案對監視的特定的事件模式失效；
• 異常閥值難以確定，閥值設置偏低或偏高均會導致誤報警事件；運用統計技術對異常作形式化處理要假定數據來源穩定並具有相似性，但是這種假定並不總是滿足。

特徵選擇異常檢測方法是通過從一組度量中挑選能檢測出入侵的度量構成子集來准確地預測或分類已檢測到的入侵。判斷符合實際的度量是復雜的，因為合適地選擇度量子集依賴於檢測到的入侵類型，一個度量集對所有的各種各樣的入侵類型不可能是足夠的。預先確定特定的度量來檢測入侵可能會錯過單獨的特別的環境下的入侵。最理想的檢測入侵度量集必須動態地決策判斷以獲得最好的效果。假設與入侵潛在相關的度量有n 個,則這n個度量構成的子集數是2^n 個 。由於搜索空間同度量數是指數關系，所以窮盡搜索最理想的度量子集的開銷不是很有效的。Maccabe提出遺傳方法來搜索整個度量子空間以尋找正確的度量子集。其方法是使用學習分類器方法生成遺傳交叉運算元和基因突變運算元,除去降低預測入侵的度量子集，而採用遺傳運算元產生更強的度量子集取代。這種方法採用與較高的預測度量子集相結合，允許搜索的空間大小比其它的啟發式搜索技術更有效。

⑶ 簡述入侵檢測常用的四種方法

入侵檢宏簡測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-baseddetection)又稱Misusedetection，這一檢測假設入侵者活動可以用一櫻絕罩種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomalydetection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統脊鬧計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(3)兩種入侵檢測方法的區別擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。