3．按键监视（Keystroke Monitor ）
按键监视是一种很简单的入侵检测方法， 用来监视攻击模式的按键。
4．Petric网状态转换
Petric网用于入侵行为分析是一种类似于状 态转换图分析的方法。利用Petric网的有利之处 在于它能一般化、图形化地表达状态，并且简洁 明了。虽然很复杂的入侵特征能用Petric网表达 得很简单，但是对原始数据匹配时的计算量却会 很大。
5．误用检测与异常检测的比较
前面介绍了基于异常和基于误用两种不同的检测方法， 下面简单地评述一下两者之间的差异：
❖ 异常检测系统试图发现一些未知的入侵行为，而误用 检测系统则是标识一些已知的入侵行为。
❖ 异常检测指根据使用者的行为或资源使用状况来判断 是否入侵，而不依赖于具体行为是否出现来检测；而误 用检测系统则大多数是通过对一些具体的行为的判断和 推理，从而检测出入侵。
2．模式匹配
基于模式匹配的入侵检测方式也像专家系统一样，也需 要知道攻击行为的具体知识。但是攻击方法的语义描述不 是被转化抽象的检测规则，而是将已知的入侵特征编码成 与审计记录相符合的模式，因而能够在审计记录中直接寻 找相匹配的已知入侵模式。这样就不像专家系统一样需要
处理大量数据，从而大大提高了检测效率
❖ 通常比较长期行为的概貌和短期行为的概貌检测出 异常后，只能模糊地报告存在异常，不能准确地报告 攻击类型和方式，因此也不能有效地阻止入侵行为。
❖ 通常基于异常的入侵监测系统首先要有一个学习过 程，这个过程是否能够正确反映对象的正常行为？因 为这个过程很可能会被入侵者利用。
这些问题使大多数此类的系统仍然停留在研究领 域。
４.2.2 基于误用的入侵检测方法
在介绍基于误用（misuse）的入侵检测的 概念之前，先看看误用（misuse）的含义，在 这里它指“可以用某种规则、方式或模型表示 的攻击或其它安全相关行为”。那么基于误用 的入侵检测技术的含义是：通过某种方式预先 定义入侵行为，然后监视系统的运行，并从中 找出符合预先定义规则的入侵行为。
4．第三方跟踪工具 （Netscan Pro ） 5．蜜罐技术
4.2 入侵检测系统
（IDS）的分析 方法
入侵分析的任务就是在提取到的庞大数据 中找到入侵的痕迹。入侵分析过程需要将提取到 的事件与入侵检测规则等进行比较，从而发现入 侵行为。一方面入侵检测系统需要尽可能多地提 取数据以获得足够的入侵证据，而另一方面由于 入侵行为的千变万化而导致判定入侵的规则等越 来越复杂，为了保证入侵检测的效率和满足实时 性的要求，入侵分析必须在系统的性能和检测能 力之间进行权衡，合理地设计分析策略，并且可 能要牺牲一部分检测能力来保证系统可靠、稳定 地运行，并具有较快的响应速度。入侵检测分析 技术主要分为两类：异常检测和误用检测。
响应单元
事件分析器
事件数据库
事件产生器
CDIF的模型
1、事件产生器
CDIF将IDS需要分析的数据统称为事件，它可以是网 络中的数据包，也可以是从系统日志或其它途径得到的信 息。事件产生器的任务是从入侵检测系统之外的计算环境 中收集事件，并将这些事件转换成CDIF的GIDO（统一入 侵检测对象）格式传送给其它组件。
2. 预测模式生成法
使用该方法进行入侵检测的系统，利用动态的规 则集来检测入侵，这些规则是由系统的归纳引擎，根 据已发生的事件的情况来预测将来发生的事件的概率 来产生的，归纳引擎为每一种事件设置可能发生的概 率。
3. 神经网络方法
利用神经网络检测入侵的基本思想是用一系列 信息单元（命令）训练神经单元，这样在给定一组 输入后，就可能预测出输出。与统计理论相比，神 经网络更好地表达了变量间的非线性关系，并且能 自动学习和更新。
4.1.1 入侵检测定义
1、定义
可以看到入侵检测的作用就在于及时地发现各 种攻击以及攻击企图并作出反应。我们可以给入侵 检测做一个简单的定义，入侵检测就是对（网络） 系统的运行状态进行监视，发现各种攻击企图、攻 击行为或者攻击结果，以保证系统资源的机密性、 完整性与可用性。
2、基本特性
▪经济性 ▪时效性 ▪安全性 ▪可扩展性
1、入侵检测系统的功能
❖ 监测并分析用户和系统的活动，查找非法用户 和合法用户的越权操作。
❖ 检查系统配置和漏洞，并提示管理员修补漏洞 （现在通常由安全扫描系统完成）。 ❖ 评估系统关键资源和数据文件的完整性。 ❖ 识别已知的攻击行为。 ❖ 统计分析异常行为。 ❖ 操作系统日志管理，并识别违反安全策略的用 户活动等。
❖ 异常检测的主要缺陷在于误检率很高，尤其在用户数 目众多或工作行为经常改变的环境中；而误用检测系统 由于依据具体特征库进行判断，准确度要高很多。
❖ 异常检测对具体系统的依赖性相对较小；而误用检测 系统对具体的系统依赖性太强，移植性不好。
4.3 入侵检测系
统 （IDS）结构
为了提高IDS产品、组件及与其它安全产品 之间的互操作性，美国国防高级研究计划署 （DARPA）和互联网工程任务组（IETF）的入侵 检测工作组（IDWG）提出的建议是公共入侵检测 框架（CDIF） 。
4.2.1 基于异常的入侵检测方法
本节重点讨论这种方法的原理和基本流程。需要 注意的是这个领域基本上是一个边缘学科，它的理 论基础包括人工智能、神经网络以及统计学等，由 于能力和篇幅的限制，我们无法一一介绍相关的理 论，基于异常的入侵检测方法主要来源于这样的思 想：任何人的正常行为都是有一定的规律的，并且 可以通过分析这些行为产生的日志信息（假定日志 信息足够完全）总结出这些规律，而入侵和滥用行 为则通常和正常的行为存在严重的差异，通过检查 出这些差异就可以检测出入侵 。这样，我们就可以 检测出非法的入侵行为甚至是通过未知方法进行的 入侵行为。此外不属于入侵的异常用户行为（滥用 自己的权限）也能被检测到。
4. 基于数据挖掘技术的异常检测系统
数据挖掘，也称为知识发现技术。对象行为日志 信息的数据量通常都非常大，如何从大量的数据中 “浓缩”出一个值或一组值来表示对象行为的概貌， 并以此进行对象行为的异常分析和检测，就可以借用 数据挖掘的方法。其中有一种方式就是记录一定量的 格式化后的数据，来进行分析和入侵检测。
3、事件数据库
用来存储GIDO，以备系统需要的时候使用。
4. 响应单元
响应单元处理收到的GIDO，并据此采取相应的 措施，如kill相关进程、将连接复位、修改文件权限 等。
以上4个组件只是逻辑实体，一个组件可能是某台 计算机上的一个进程甚至线程，也可能是多台计算机 上的多个进程，它们以GIDO格式进行数据交换。 GIDO是对事件进行编码的标准通用格式（由CDIF描 述语言CISL定义），GIDO数据流在图中已标出，它 可以是发生在系统中的审计事件，也可以是对审计事 件的分析结果。
４.３.3 基于智能代理技术的分布 式入侵检测系统
分布式入侵检测系统是与简单的基于主机的入 侵检测系统不同的，它一般由多个部件组成分布在 网络的各个部分，完成相应的功能，如进行数据采 集、分析等。通过中心的控制部件进行数据汇总、 分析、产生入侵报警等。一个简单的分布式入侵检 测系统（DIDS）如下页图 所示 。
4.1.4 入侵响应（Intrusion Response）
入侵响应就是当检测到入侵或攻击时，采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式，按响应类型可分为：报警型响应系统、 人工响应系统、自动响应系统；按响应方式可分为：基 于主机的响应、基于网络的响应；按响应范围可分为： 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时，采用的技术很多，又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括：记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等。
2、入侵检测技术主要的发展方向
❖ 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构 。 ❖ 应用层入侵检测 ❖ 智能的入侵检测 ❖ 提供高层统计与决策 ❖ 响应策略与恢复研究 ❖ 入侵检测的评测方法 ❖ 和其它网络安全部件的协作、与其他安全技术
的结合
4.1.3 入侵检测系统的功能及分类
1．专家系统
专家系统是基于知识的检测中早期运用较多的方法。 将有关入侵的知识转化成if-then结构的规则，即把构成入 侵所需要的条件转化为if部分，把发现入侵后采取的相应 措施转化为then部分。当其中某个或某部分条件满足时， 系统就判断为入侵行为发生。其中的if-then结构构成了描 述具体攻击的规则库，状态行为及其语义环境可根据审计 事件得到，推理机根据规则和行为完成判断工作 。
2、事件分析器
事件分析器分析从其它组件收到的GIDO，并将产生的新 GIDO在传送给其它组件。分析器可以是一个轮廓 （profile）描述工具，统计性地检测现在的事件是否可 能与以前某个时间来自同一个时间序列；也可以是一个 特征检测工具，用于在一个事件序列中检测是否有已知 的误用攻击特性；此外，事件分析器还可以是一个相关 器，观察事件之间的关系，将有联系的事件放在一起， 以利于以后的进一步分析。
当我们无法完全防止入侵时，那么只能希 望系统在受到攻击时，能尽快检测出入侵，而 且最好是实时的，以便可以采取相应的措施来 对付入侵，这就是入侵检测系统要做的，它从 计算机网络中的若干关键点收集信息，并分析 这些信息，检查网络中是否有违反安全策略的 行为和遭到袭击的迹象。入侵检测被认为是防 火墙之后的第二道安全闸门。
2．入侵检测的分类
对入侵检测技术的分类方法很多，根据着眼 点的不同，主要有下列几种分法：按数据来源和 系统结构分类，入侵检测系统分为3类：基于主机 的入侵检测系统，基于网络的入侵检测系统，分 布式入侵检测系统（混合型）。根据数据分析方 法（也就是检测方法）的不同，可以将入侵检测 系统分为2类：异常检测和误用检测。按数据分析 发生的时间不同，入侵检测系统可以分为2类：离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同，可以分为2类：集中式检测 系统和分布式检测系统。