2.入侵检测技术
入侵检测是指“通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测系统( Intru-sion Detection System,简称IDS)指对计算机和网络资源的恶意使用行为进行识别和相应处理的系统,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术按照检测方法划分可以分为异常检测技术和误用检测技术两种。其中异常检测模型( Anomaly Detection)是指检测与可接受行为之间的偏差,这种检测模型漏报率低,误报率高。误用检测模型( Misuse Detection)是指检测与已知的不可接受行为之间的匹配程度,这种检测模型误报率低、漏报率高。
按照检测对象划分可以分为基于主机和基于网络的两种类型。基于主机的技术主要是对主机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用等记录进行安全审计。主机型入侵检测系统保护的一般是所在的主机系统,是由运行在主机上的代理( agent)与命令控制台( console)通信来实现的。基于网络的技术主要是对网络上的数据包进行分析。网络型入侵检测系统保护的是相应的网段,是由网络镜像端口传送数据包或由传感器( sensor)嗅探数据包与命令控制台进行通信。