入侵检测学习总结
入侵检测基本概念
随着计算机技术的飞速发展，网络安全问题纷繁复杂，计算机信息安全问题越来越受关注。

为了保证网络和信息的安全，必须采取一定的措施，常用的信息安全技术手段主要有：
访问控制(Access)：防止对资源的未授权使用
鉴别与认证(Authentication)：用保护机制鉴别用户身份
加密(encrypt)：使用数学方法重新组织数据
防火墙(Firewall)：隔离和控制被保护对象
VPN (Virtual Private Network)：在公共网上建立专用安全通道
扫描器(SCAN)：检测系统的安全性弱点
入侵检测(Intrusion detection)：检测内、外部的入侵行为
但是许多常规的安全机制都有其局限性，许多方面都不尽如人意，例如防火墙的局限性为防火墙像一道门，可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，不能阻止内部的破坏分子；访问控制系统的局限性为可以不让低级权限的人做越权工作，但无法保证不让高权限的人做破坏工作（包括通过非法行为获得高级权限）；漏洞扫描系统的局限性为可以提前发现系统存在的漏洞，但无法对系统进行实时扫描。

从实际来看，建立一个完全安全系统很难做到的，原因如下：
(1)软件不可能没有缺陷
(2)将所有已安装的带安全缺陷的系统转换成安全系统是不现实的
(3)访问控制和保护模型本身存在一定的问题
(4)静态的安全控制措施不足以保护安全对象属性
(5)安全系统易受内部用户滥用特权的攻击
一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统，入侵检测系统（IDS）就是这样一类系统。

美国国家安全通信委员会（NSTAC）下属的入侵检测小组（IDSG）在1997年给出的关于“入侵”的定义是：入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。

对“入侵检测”的定义为：入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。

入侵检测系统：所有能执行入侵检测任务和功能的系统。

通用入侵检测系统模型如下图：
图3-4-1 通用入侵检测系统模型
上图所示的通用入侵检测系统模型，主要由以下几大部分组成：
(1)数据收集器（又可称为探测器）：主要负责收集数据。

(2)检测器（又可称为分析器或检测引擎）：负责分析和检测入侵的任务，并发出警报信号。

(3) 知识库：提供必要的数据信息支持。

(4) 控制器：根据警报信号，人工或自动做出反应动作。

入侵检测与P2DR模型
（1）P2DR模型概念
P2DR模型是一个动态的计算机系统安全理论模型。

P2DR特点是动态性和基于时间的特性。

PPDR模型的含义为：在安全策略的指导下，运用防护机制、检测机制、响应机制使风险降至可接受水平。

图3-4-2 P2DR模型
P2DR模型的具体内容包括如下：
(1)策略：P2DR模型的核心内容。

具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。

(2) 防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。

(3) 检测：在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。

(4) 响应：当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。

（2）两个重要的公式：
t P>t D+ t R
t E=( t D+ t R)- t P
其中：t P：攻击时间；
t D：检测时间；
t R：响应时间；
t E：暴露时间；
（3）入侵检测系统的功能：
(1)监控、分析用户和系统的活动
(2)审计系统的配置和弱点
(3)评估关键系统和数据文件的完整性
(4)识别攻击的活动模式
(5)对异常活动进行统计分析
(6)操作系统审计跟踪管理、识别违反安全策略的用户活动
（4）检测率、误警率和漏警率
在入侵检测过程中都会产生虚警。

虚警包括误警(False Positive)和漏警(False Negative)。

假设I和﹁I分别表示入侵行为和目标系统的正常行为，A表示检测系统发出警报，﹁A表示检测系统没有警报。

可以得到如下定义：
(1) 检测率：指目标系统受到入侵攻击时，检测系统能够正确报警的概率，可表示为P（A|I）。

(2) 误警率：检测系统在检测时出现误警的概率，用P(A|﹁I)表示。

(3) 漏检率：检测系统在检测时出现漏警的概率，用P(﹁A|I)表示。