入侵检测技术什么是入侵检测技术，入侵检测系统模型包含哪三个功能部件

入侵检测技术的原理是?

CIDF阐述了一个入侵检测系统（IDS）的通用模型。

它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Eventdatabases），用D盒表示。

CIDF模型的结构如下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。

A、E、D及R盒之间的通信都基于GIDO（generalizedIntrusiondetectionobjects，通用入侵检测对象）和monintrusionspecificationlanguage，通用入侵规范语言）。

如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测技术的分类

（1）异常检测模型（AnomalyDetection）：检测与可接受行为之间的偏差。

如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

这种检测模型漏报率低，误报率高。

因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

（2）误用检测模型（MisuseDetection）：检测与已知的不可接受行为之间的匹配程度。

如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。

收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

这种检测模型误报率低、漏报率高。

对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。

主机型入侵检测系统保护的一般是所在的主机系统。

是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。

基于网络：系统分析的数据是网络上的数据包。

网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

入侵检测技术的方法

方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。

目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现： 1.监视、分析用户及系统活动； 2.系统构造和弱点的审计； 3.识别反映已知进攻的活动模式并向相关人士报警； 4.异常行为模式的统计分析； 5.评估重要系统和数据文件的完整性； 6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测技术的发展方向是什么？

无论从规模与方法上入侵技术近年来都发生了变化。

入侵的手段与技术也有了“进步与发展”。

入侵技术的发展与演化主要反映在下列几个方面：入侵或攻击的综合化与复杂化。

入侵的手段有多种，入侵者往往采取一种攻击手段。

由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。

通过一定的技术，可掩盖攻击主体的源地址及主机位置。

即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

入侵或攻击的规模扩大。

对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。

由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。

对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。

信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

入侵或攻击技术的分布化。

以往常用的入侵与攻击行为往往由单机执行。

由于防范技术的发展使得此类行为不能奏效。

所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。

且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。

分布式攻击是近期最常用的攻击手段。

攻击对象的转移。

入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。

现已有专门针对IDS作攻击的报道。

攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

今后的入侵检测技术大致可朝下述三个方向发展。


分布式入侵检测：
第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。


智能化入侵检测：
即使用智能化的方法与手段来进行入侵检测。

所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。

利用专家系统的思想来构建入侵检测系统也是常用的方法之一。

特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。

应用智能体的概念来进行入侵检测的尝试也已有报道。

较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。


全面的安全防御方案：
即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。

从管理、网络结构、加密通道、防火墙、
病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

简述入侵检测系统的基本原理.

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。

包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术

什么是入侵检测技术，入侵检测系统模型包含哪三个功能部件

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

三部分：信息收集、信息分析和结果处理。

（1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。

由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。

当检测到某种误用模式时，产生一个告警并发送给控制台。

（3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。