入侵檢測是用於檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的壹種網絡安全技術。它通過監視受保護系統的狀態和活動,采用異常檢測或誤用檢測的方式,發現非授權的或惡意的系統及網絡行為,為防範入侵行為提供有效的手段。入侵檢測系統(IDS)是由硬件和軟件組成,用來檢測系統或網絡以發現可能的入侵或攻擊的系統。IDS通過實時的檢測,檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式,監控與安全有關的活動。
入侵檢測提供了用於發現入侵攻擊與合法用戶濫用特權的壹種方法,它所基於的重要的前提是:非法行為和合法行為是可區分的,也就是說,可以通過提取行為的模式特征來分析判斷該行為的性質。壹個基本的入侵檢測系統需要解決兩個問題:
壹是如何充分並可靠地提取描述行為特征的數據;
二是如何根據特征數據,高效並準確地判斷行為的性質。
入侵檢測系統主要包括三個基本模塊:數據采集與預處理、數據分析檢測和事件響應。系統體系結構如下圖所示。
數據采集與預處理。該模塊主要負責從網絡或系統環境中采集數據,並作簡單的預處理,使其便於檢測模塊分析,然後直接傳送給檢測模塊。入侵檢測系統的好壞很大程度上依賴於收集信息的可靠性和正確性。數據源的選擇取決於所要檢測的內容。
數據分析檢測。該模塊主要負責對采集的數據進行數據分析,確定是否有入侵行為發生。主要有誤用檢測和異常檢測兩種方法。
事件響應。該模塊主要負責針對分析結果實施響應操作,采取必要和適當的措施,以阻止進壹步的入侵行為或恢復受損害的系統。
異常入侵檢測的主要前提條件是入侵性活動作為異常活動的子集。理想狀況是異常活動集同入侵性活動集相等。在這種情況下,若能檢測所有的異常活動,就能檢測所有的入侵性活動。可是,入侵性活動集並不總是與異常活動集相符合。活動存在四種可能性:
入侵性而非異常;非入侵性且異常;非入侵性且非異常;入侵且異常。
異常入侵檢測要解決的問題就是構造異常活動集並從中發現入侵性活動子集。異常入侵檢測方法依賴於異常模型的建立,不同模型就構成不同的檢測方法。異常入侵檢測通過觀測到的壹組測量值偏離度來預測用戶行為的變化,並作出決策判斷。異常入侵檢測技術的特點是對於未知的入侵行為的檢測非常有效,但是由於系統需要實時地建立和更新正常行為特征輪廓,因而會消耗更多的系統資源。