入侵检测系统简介

　　·核查系统配置和漏洞；
　　·评估系统关键资源和数据文件的完整性；
　　·识别已知的攻击行为；
　　·统计分析异常行为；
　　·操作系统日志管理，并识别违反安全策略的用户活动。

　　入侵检测系统的分类

　　一般来说，入侵检测系统可分为主机型和网络型。

　　主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

　　网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

　　不难看出，网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统，便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用，不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及，这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。

　　而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。

　　入侵检测技术

　　对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。

　　入侵检测技术从时间上，可分为实时入侵检测和事后入侵检测两种。

　　实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。