入侵检测技术原理与应用

入侵检测概述

入侵监检测概念

入侵：违背访问目标安全策略的行为

入侵检测：通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为

入侵检测系统（IDS）：具有入侵检测功能的系统

通用入侵检测模型CIDF

IDS不同组件和不同IDS之间共享信息很有必要

CIDF将IDS需分析数据统称为时间

CIDF模型具有很强扩展性。

入侵检测作用

在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”角色

目的：不是阻止入侵事件发生，而是通过检测技术发现系统中企图或已经违背安全策略的行为

入侵检测技术

 基于误用的入侵检测技术（基于特征的入侵检测方法）

根据已知入侵模式检测入侵行为，攻击者常针对系统和软件漏洞展开攻击（具有某种特征模式）。如果入侵攻击方法匹配上检测系统中的特征模式，入侵即被检测到。

误用检测方法