入侵检测技术

王朝百科·作者佚名 2010-02-25

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测方法很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现：

1.监视、分析用户及系统活动；

2.系统构造和弱点的审计；

3.识别反映已知进攻的活动模式并向相关人士报警；

4.异常行为模式的统计分析；

5.评估重要系统和数据文件的完整性；

6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。

入侵检测系统目前存在的问题:

1. 现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率

2. 入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击

4. 入侵检测系统体系结构问题

发展趋势:

1. 基于agent(注:代理服务)的分布协作式入侵检测与通用入侵检测结合

2. 入侵检测标准的研究, 目前缺乏统一标准

3. 宽带高速网络实时入侵检测技术

4. 智能入侵检测

5. 入侵检测的测度

图书《入侵检测技术》信息书名: 入侵检测技术/高等院校信息安全专业系列教材

作者：唐正军李建华

出版社：清华大学出版社

出版时间： 2008

ISBN: 9787302082828

开本： 16

定价: 24.00 元

内容简介本书全面细致地讲述了入侵检测的各项技术，概念清晰，行文流畅。全书共分十二章。第一章和第二章主要介绍了入侵检测相关的历史和概念。第三章对入侵检测的信息来源，技术分类等做了简要的介绍。第四章和第五章对基于主机的入侵检测技术和基于网络的入侵检测技术进行了介绍。第六章介绍了混合型入侵检测技术的特点。第七章对若干先进入侵检测算法的应用情况做了简要的介绍。第八章对分布式入侵检测架构的设计问题进行了分析讨论；第九章和第十章分别对入侵检测系统在设计时所要考虑的若干实际问题和入侵检测的响应问题进行了介绍。第十一章和第十二章对相关的法律问题和未来的技术发展前景做了介绍和展望。

本书适合作为计算机、信息安全、通信等相关专业的高年级本科生和研究生的数学用书，也可供广大网络安全工程技术人员参考。

作者简介唐正军，现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇，出版网络安全相关技术著作3部，并参加国家自然科学基金儿863计划等国家重大项目多项。同时，申请技术专利和软件版权各1项。

李建华，现任国家863计划信息安全技术专家组专家、电子政务试点示范工程总体专家组专家、国家保密局顾问专家、中国电子政务标准化总体组专家、国家依靠安全标准化专家委员会成员、上海交通大学信息安全工程学院常务副院长、上海交通大学电子政务与信息安全工程研究中心主任。主持及参加完成了省部级以上科研项目虐0余项，在国内外期刊、学术会议上发表学术论文100余篇，其中EI/SCI收录30余篇，并申请国家技术专利23项。

目录第1章入侵检测技术的历史

1.1主机审计——入侵检测的起点

1.2入侵检测基本模型的建立

1.3技术发展的历程

习题

第2章入侵检测的相关概念

2.1入侵的定义

2.2什么是入侵检测

2.3入侵检测与P2DR模型

习题

第3章入侵检测技术的分类

3.1入侵检测的信息源