两种入侵检测方法的区别

⑴ 什么是入侵检测，入侵检测技术可以分为哪两类

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测方法很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现：
1.监视、分析用户及系统活动；
2.系统构造和弱点的审计；
3.识别反映已知进攻的活动模式并向相关人士报警；
4.异常行为模式的统计分析；
5.评估重要系统和数据文件的完整性；
6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统典型代表
入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。

入侵检测系统目前存在的问题:
1. 现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率
2. 入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击
3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击
4. 入侵检测系统体系结构问题

发展趋势:
1. 基于agent(注:代理服务)的分布协作式入侵检测与通用入侵检测结合
2. 入侵检测标准的研究, 目前缺乏统一标准
3. 宽带高速网络实时入侵检测技术
4. 智能入侵检测
5. 入侵检测的测度

⑵ 对于入侵检测，统计异常检测方法和特征选择异常检测方法有什么区别

统计异常检测的方法用的是特征轮廓的异常值加权，而特征选择异常检测方法用的是特征空间构成入侵的子集来判断是否入侵。

这里ai表示与度量Mi的相关权重。一般而言，变量M1,M2…Mi 不是相互独立的，需要更复杂的函数处理其相关性。异常性测量值仅仅是数字，没有明确的理论依据支持这种处理方式。例如，使用多个独立的异常性变量作为结合的依据，概率计算在理论上是正确的。但是，异常性测量和贝叶斯概率计算之间的关系并不是很清晰的。常见的几种测量类型通常包括：

• 活动强度测量： 描述活动处理速度。通常用作检测突发性行为，而检测不出这种长时期的平均行为效果；
• 审计记录分布测量：描述最近审计记录中所有活动类型分布状况。如特定的用户在整个系统使用中文件访问和I/O活动分布；
• 类型测量：描述特定的活动在各种类型中的分布状况。如在系统中，从各个物理位置来的远程登录相关频度，每个邮件发送者、编译器、shell、编辑器的相关使用；
• 顺序测量：描述活动的输出结果，以数字值来表示。如特定的用户CPU和I/O使用总量。

统计异常检测方法的优点是所应用的技术方法在统计学中已经得到很好的研究。例如，位于标准方差两侧的数据可认为是异常的。但统计入侵检测系统有以下几点不足：

• 统计测量对事件发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉事件当中互相依次相连的入侵行为；
• 单纯的统计入侵检测系统将逐渐地训练成单一点，要么行为是异常的，要么是正常的。入侵者如果知道他被这样的异常检测器监视，他可以诱导这个系统，使得那些大部分依靠行为统计测量的入侵检测方案对监视的特定的事件模式失效；
• 异常阀值难以确定，阀值设置偏低或偏高均会导致误报警事件；运用统计技术对异常作形式化处理要假定数据来源稳定并具有相似性，但是这种假定并不总是满足。

特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。判断符合实际的度量是复杂的，因为合适地选择度量子集依赖于检测到的入侵类型，一个度量集对所有的各种各样的入侵类型不可能是足够的。预先确定特定的度量来检测入侵可能会错过单独的特别的环境下的入侵。最理想的检测入侵度量集必须动态地决策判断以获得最好的效果。假设与入侵潜在相关的度量有n 个,则这n个度量构成的子集数是2^n 个 。由于搜索空间同度量数是指数关系，所以穷尽搜索最理想的度量子集的开销不是很有效的。Maccabe提出遗传方法来搜索整个度量子空间以寻找正确的度量子集。其方法是使用学习分类器方法生成遗传交叉算子和基因突变算子,除去降低预测入侵的度量子集，而采用遗传算子产生更强的度量子集取代。这种方法采用与较高的预测度量子集相结合，允许搜索的空间大小比其它的启发式搜索技术更有效。

⑶ 简述入侵检测常用的四种方法

入侵检宏简测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-baseddetection)又称Misusedetection，这一检测假设入侵者活动可以用一樱绝罩种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统脊闹计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

(3)两种入侵检测方法的区别扩展阅读

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。