软考-入侵检测技术原理与应用

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

入侵检测技术概念

入侵检测技术是指一种计算机安全技术，旨在监测计算机系统、网络或应用程序的安全状态，以识别和响应任何未经授权的访问、使用、修改或破坏尝试。入侵检测技术主要分为两类：主机入侵检测和网络入侵检测。主机入侵检测系统在特定主机上运行，监视主机上的系统日志、文件系统和进程，识别可能的安全漏洞和攻击。网络入侵检测系统则通过监测网络数据包和流量，来识别可能的攻击或异常行为。入侵检测技术是计算机安全的重要组成部分，用于保护计算机系统和网络不受未授权访问和恶意攻击。

入侵检测模型

通用入侵检测框架模型CIDF 由事件产生器(event generators)、事件分析器(event analyzers)、响应单元response units)和事件数据库(event databases)组成。

• 事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件
• 事件分析器分析所得到的数据，并产生分析结果
• 响应单元对分析结果做出反应，如切断网络连接、改变文件属性、简单报等应急响应。
• 事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。

入侵检测技术

基于误用的入侵检测技术
误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。误用入侵检测依赖于攻击模式库。采用误用入侵检测技术的IDS 产品的检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。

误用检测方法：

• 基于条件概率的误用检测方法：是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。
• 基于状态迁移的误用检测方法：利用状态图表示攻击特征，通过检查系统的状态变化发现系统中的入侵行为。
• 基于键盘监控的误用检测方法：监测用户的击键模式，并将其与入侵模式匹配，从而发现入侵行为。
• 基于规则的误用检测方法：将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。

大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例。

基于异常的入侵检测技术

异常检测方法是通过计算机或网络资源统计分析，建立系统正常行为的”轨迹”，定义一组系统正常情况的数值然后将系统运行时的数值与所定义的“正常情况相比较，得出是否有被攻击的迹象。

入侵行为集合通常不等同于异常行为集合。异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。

几种常见的异常检测方法：

• 基于统计的异常检测方法:利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓。
• 基于模式预测的异常检测方法:根据观察到的用户行为归纳产生一套规则集，构成用户的行为轮廓框架。如果后续的事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离，表明用户操作异常。
• 基于文本分类的异常检测方法:将程序的系统调用视为某个文档中的“字”而进程运行所产生的系统调用集合就产生一个"文档”。对于每个进程所产生的"文档”，利用K 最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为。
• 基于贝叶斯推理的异常检测方法:在任意