說明入侵檢測的方法

㈠ 入侵檢測系統的檢測方法

在異常入侵檢測系統中常常採用以下幾種檢測方法： 基於貝葉斯推理檢測法：是通過在任何給定的時刻，測量變數值，推理判斷系統是否發生入侵事件。 基於特徵選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預測或分類。 基於貝葉斯網路檢測法：用圖形方式表示隨機變數之間的關系。通過指定的與鄰接節點相關一個小的概率集來計算隨機變數的聯接概率分布。按給定全部節點組合，所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網路是一個有向圖，弧表示父、子結點之間的依賴關系。當隨機變數的值變為已知時，就允許將它吸收為證據，為其他的剩餘隨機變數條件值判斷提供計算框架。
基於模式預測的檢測法：事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式預測的異常檢測法的假設條件，其特點是事件序列及相互聯系被考慮到了，只關心少數相關安全事件是該檢測法的最大優點。 基於統計的異常檢測法：是根據用戶對象的活動為每個用戶都建立一個特徵輪廓表，通過對當前特徵與以前已經建立的特徵進行比較，來判斷當前行為的異常性。用戶特徵輪廓表要根據審計記錄情況不斷更新，其保護去多衡量指標，這些指標值要根據經驗值或一段時間內的統計而得到。 基於機器學習檢測法：是根據離散數據臨時序列學習獲得網路、系統和個體的行為特徵，並提出了一個實例學習法IBL，IBL是基於相似度，該方法通過新的序列相似度計算將原始數據（如離散事件流和無序的記錄）轉化成可度量的空間。然後，應用IBL學習技術和一種新的基於序列的分類方法，發現異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。
數據挖掘檢測法：數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網路中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發現記錄中的異常現象是遠遠不夠的，所以將數據挖掘技術應用於入侵檢測中，可以從審計數據中提取有用的知識，然後用這些知識區檢測異常入侵和已知的入侵。採用的方法有KDD演算法，其優點是善於處理大量數據的能力與數據關聯分析的能力，但是實時性較差。
基於應用模式的異常檢測法：該方法是根據服務請求類型、服務請求長度、服務請求包大小分布計算網路服務的異常值。通過實時計算的異常值和所訓練的閾值比較，從而發現異常行為。
基於文本分類的異常檢測法：該方法是將系統產生的進程調用集合轉換為「文檔」。利用K鄰聚類文本分類演算法，計算文檔的相似性。 誤用入侵檢測系統中常用的檢測方法有： 模式匹配法：是常常被用於入侵檢測技術中。它是通過把收集到的信息與網路入侵和系統誤用模式資料庫中的已知信息進行比較，從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔，有較高的檢測率和准確率。 專家系統法：這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理演算法檢測入侵。主要是針對有特徵的入侵行為。 基於狀態轉移分析的檢測法：該方法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定的關聯的過程。在網路中發生入侵時及時阻斷入侵行為，防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。

㈡ 入侵檢測技術的方法

方法有很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。

㈢ 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。