入侵检测技术介绍

入侵检测是一种动态的网络安全技术，注重的是网络安全状况的监管，其核心价值在于通过对全网信息的分析，了解信息系统的安全状况。入侵检测不仅能检测来自外部的攻击或入侵，也能检测内部授权用户的活动是否存在异常。

分享至

我想评论

1 入侵检测技术定义

入侵检测（intrusion Detection）是一种动态的网络安全技术，通过各种检测引擎，实时或定期地对网络中的信息进行分析，依照引擎对异常的数据或事件的认识，识别出具有威胁性的数据或事件，并启动相应的防护机制，以保证网络系统资源的机密性、完整性和可用性。

入侵检测不仅能检测来自外部的攻击或入侵，也能检测内部授权用户的活动是否存在异常。

2 入侵检测技术原理

入侵检测提供了发现入侵攻击与合法用户滥用特权的方法，其应用前提是认为入侵行为和合法行为是可区分的，即可以通过提取行为的特征来判断该行为是否合法。提取并分析行为特征的方法主要包括以下两种：

● 异常检测技术：将过去学习到的正常行为进行收集、分析，并建立正常行为模型。提取当前行为特征与正常行为模型进行匹配，匹配成功则认为是合法行为，否则将被判定为入侵行为。

● 误用检测技术：对过去各种已知入侵方法和系统缺陷知识进行积累、分析，然后建立异常行为特征库。提取当前行为特征与异常行为特征进行匹配，匹配成功将被判定为入侵行为。

入侵检测过程如下：

(1) 数据提取：对网络流量、用户行为进行信息收集、整理。

(2) 特征分析：将提取的数据与特征库中的行为特征进行对比分析匹配，从而判断哪些是异常行为、哪些是正常行为。

(3) 响应处置：对异常的行为进行处置，如告警、记录日志等。

3 入侵检测系统分类

入侵检测系统（intrusion Detection System，简称IDS）是指具有入侵检测功能的软件或硬件。根据检测数据来源的不同，IDS系统分类如下表所示。

	基于主机的IDS	基于网络的IDS
定义	通过对系统日志、系统调用、端口调用、审计记录等信息的不断监控来发现异常访问行为	通过截获网络中的数据包，并提取特征与行为特征库中的特征对比，从而识别行为
检测数据来源	主机	网络
检测数据对象	系统日志、系统调用、端口调用、审计记录等	网络上的数据包
优点	监测范围较小，误报少	监测范围较广、侦测速度快、资源消耗少
缺点	依赖主机及其审计子系统	误报率较高

基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不完善。随着网络技术的发展，混合型IDS应时而生，它综合了基于网络和基于主机的混合型入侵检测系统的特点，既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

4 IDS与IPS、防火墙的区别

如果将网络空间比喻成一个大厦，那么防火墙相当于门锁，有效隔离内外网或不同安全域；IDS相当于监视系统，当有问题发生时及时产生警报；而IPS则是巡视和保证大厦安全的安保人员，能够根据经验，主动发现问题并采取措施。

三者在网络中相互配合，各司其职。实际使用中，需要根据具体网络需求进行评估和选择，有效发挥各设备优势，尽量避免缺点和不足，保证网络的安全运行。

对比项	IDS	IPS	防火墙
概念	审计类产品	访问控制类产品	访问控制类产品
保护内容	入侵检测，针对网络5-7层的应用保护	入侵防御，针对网络5-7层的应用保护	应用在转发、内网保护（NAT）、流控、过滤等方面，针对网络3-4层的保护
部署位置	通常采用旁路接入，部署在尽可能靠近攻击源、尽可能靠近受保护资源的位置	通常采用串行接入，部署在内外网连接处或重要服务器集群前端	通常采用串行接入，部署在网络边界，用来隔离内外网
工作机制	针对已发生的攻击事件或异常行为进行处理，属于被动防护	针对攻击事件或异常行为可提前感知及预防，属于主动防护	通过策略五要素（源IP、目的IP、端口、协议、应用等，各厂商定义不同，会有所扩展）实现对网络的访问控制