入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。
1、特征檢測
特征檢測(Signature-based detection) 又稱Misuse detection ,這壹檢測假設入侵者活動可以用壹種模式來表示,系統的目標是檢測主體活動是否符合這些模式。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這壹理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。
異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
擴展資料
入侵分類:
1、基於主機
壹般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。
這種類型的檢測系統不需要額外的硬件.對網絡流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網絡攻擊。
2、基於網絡
通過被動地監聽網絡上傳輸的原始流量,對獲取的網絡數據進行處理,從中提取有用的信息,再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。
此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平臺;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網絡的入侵檢測系統。
3、分布式
這種入侵檢測系統壹般為分布式結構,由多個部件組成,在關鍵主機上采用主機入侵檢測,在網絡關鍵節點上采用網絡入侵檢測,同時分析來自主機系統的審計日誌和來自網絡的數據流,判斷被保護系統是否受到攻擊。
百度百科-入侵檢測