第七章 入侵检测技术




                           第一节 入侵检测技术的概念、分类


                 一、入侵检测技术的概念


                 入侵检测系统（intrusion detection system)IDS 是战略性地安装在网络上，用
            于检测威胁和监视数据包。入侵检测系统的功能是通过从不同的系统和网络源收
            集数据并分析数据，从而防范可能的威胁。IDS 的功能包括提供威胁信息，在检
            测到威胁时采取纠正措施，以及记录网络中的所有重要事件。

                 事件产生器：每个数据包中有既存在正常也存在异常迹象，该组件会对它
            们响应从而在整个计算环境中获得事件，并向系统的其他组件传送该事件。
                 事件分析器：事件被传送到该组件时，其功能是对事件进行分析数据，发

            现异常事件并通知响应单元。
                 响应单元：对分析结果作出反应。
                 事件数据库：存放各种中间和最终数据。

                 二、入侵检测技术的分类


                 依据数据来源分类可划分为以下两类：
                 基于主机的入侵检测：基于主机的 IDS（HIDS）是一种通常运行在计算机、
            节点或设备的入侵检测系统。它的主要功能是内部监控，虽然已经开发出许多
            HIDS 的变种可用于监控网络，但它主要监视和分析计算机、节点或设备的内部

            构造。HIDS 确定系统是否已被破坏，并相应地警告管理员。例如，它可以监测
            到一个程序是否为正常访问而非以可疑方式访问系统资源，或者发现一个程序以
            侵害计算机操作系统的方式修改了注册表。HIDSs 是最早设计的侵入式检测软件。
            与基于网络的 IDS 不同，HIDS 可以检查完整的通信流。诸如碎片攻击或会话拼

            接之类的数据采集技术并不适用，因为当会话被提交给操作系统时，HIDS 可以
            检查完全重组的会话。加密通信可以被监控，因为高级检查员可以在加密前查看


             192
             192