入侵和入侵检测，入侵检测技术的分类

8.4.5　入侵检测技术

入侵检测技术可比喻成网络中的摄像机，就现场监视和记录数据而言，二者有很多相似之处。

传统上，一般采用防火墙作为安全的第一道屏障。但是随着攻击者技术的日趋成熟，攻击手法的日趋多样，单纯的防火墙已经不能很好地完成安全防护工作。在这种情况下，入侵检测技术成为市场上新的热点。

（1）入侵和入侵检测

入侵活动包括非授权用户试图存取数据、处理数据，或者妨碍计算机的正常运行。入侵检测（Intrusion Detection）就是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。一般把用于入侵检测的软件、硬件合称为入侵检测系统。

（2）入侵检测技术分类

① 统计异常事务检查。它通过检查统计量的偏差，从而检测不正常的行为。给用户、用户组、工作站、服务器、文件、网络适配器及其他资源等主体定义一些系统的变量，如CPU利用率、内存利用率等，通过观察历史数据或期望值为每个变量建立基值。当主体发生活动时，系统自动检测这些变量的变化；当变化超过一定范围，系统将确定主体非法入侵。

② 实时检测或基于时间间隔的扫描。基于时间间隔的扫描占用系统资源较少，但缺陷是只有在毁坏了数据之后才能发现攻击。实时检测能够尽快地发现攻击，但会影响性能和资源占用。在实用中，一般混合使用这两种方法，当一个事件的风险较小时，可采用基于时间间隔的入侵检测系统来检查；当风险较大时，则要使用实时检测来监视入侵。

③ 基于主机和基于网络的入侵检测。网络型入侵检测系统的数据源是网络上的数据包。一般来说，网络型入侵检测系统担负着保护整个网段的任务。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。防火墙内部的Web、DNS和Email等服务器是大部分非法攻击的目标，这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。