35、入侵检测与信息基础设施保护全解析

入侵检测与信息基础设施保护全解析

在当今数字化时代，计算机和网络系统面临着各种入侵威胁，这些威胁严重影响了系统的正常服务。入侵检测作为保障系统安全的重要手段，其技术发展和应用备受关注。本文将深入探讨入侵检测的相关知识，包括基本概念、数据与模型、面临的挑战以及常见的检测技术等内容。

入侵检测基础概念

计算机系统或网络的服务安全通常通过三个指标来衡量：
- 保密性 ：确保只有授权用户能够访问信息内容或可用服务。
- 完整性 ：保证信息在处理和传输过程中未被篡改，由正确的一方创建和发布。
- 可用性 ：保证信息系统在为客户提供服务时，在速度和时间方面达到承诺的能力，这是计算机系统服务质量（QoS）衡量的重要部分。

任何违反或降低这三个安全指标的活动都被视为对计算机基础设施的入侵。随着时间的推移，入侵形式多种多样，如物理利用、恶意代码、病毒、蠕虫、协调服务请求以及社会工程手段（如越来越多的网络钓鱼和身份盗窃）。其中，病毒和蠕虫是常见的例子，它们可以在短短几个小时内通过电子邮件和网络连接等多种媒介传播到数千台计算机，造成数据丢失和关键信息泄露等损害。此外，分布式拒绝服务（DDoS）攻击也越来越受到关注，攻击者通过协调一组计算机在短时间内发送大量恶意网络流量，剥夺受害者计算机正常服务所需的资源。

入侵检测的数据与模型

用户请求和服务响应会改变计算机系统的状态并引发新事件，这些状态和事件的变化可以通过记录设施捕获，例如许多计算机平台常用的日志系统。以下是一些常见的记录设施：
- S