入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。

入侵检测(Intrusion Detection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。

审计数据的获取是主机入侵检测技术的重要基石，是进行主机入侵检测的信息来源。

网络数据包的截获是基于网络的入侵检测技术的工作基石。

根据网络类型的不同，网络数据截获可以通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。

主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤和格式转换等操作。

预处理工作的必要性体现在一下几个方面：①不同目标系统环境的审计记录格式不相同，对其进行格式转换的预处理操作形成标准记录格式后，将有利于系统在不同目标平台系统之间的移植；同时，有利于形成单一格式的标准审计记录流，便于后继的处理模块进行检测工作②对于审计系统而言，系统中所发生的所有可审计活动都会生成对应的审计记录，因此对某个时间段而言，审计记录的生成速度是非常快的，而其中往往大量充斥着对于入侵检测而言无用的事件记录。

所以，需要对审计记录流进行必要的映射和过滤等操作。

构建状态转移图的过程大致分为如下步骤：
①分析具体的攻击行为，理解内在机理
②确定攻击过程中的关键行为点
③确定初始状态和最终状态
④从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组
文件完整性检查的目的是检查主机系统中文件系统的完整性，及时发现潜在的针对文件系统的无意或者恶意的更改。

检测引擎的设计是基于网络入侵检测的核心问题。

检测引擎可分为两大类：嵌入式规则检测引擎和可编程的检测引擎。

类型优点缺点
特征分析·在小规则集合情况下，工作速度快
·检测规则易于编写、便于理解并且容
易进行定制
·对新出现的攻击手段，具备快速升级
支持能力
·对低层的简单脚本攻击行为，具备良
好的检测性能
·对所发生的攻击行为类型，具备
确定性的解释能力
·随着规则集合规模的扩大，检查速
度迅速下降
·各种变种的攻击行为，易于造成过
度膨胀的规则集合
·较易产生虚警信息
·仅能检测到已知的攻击类型，前提
是该种攻击类型的检测特征已知
协议分析·具备良好的性能可扩展性，特别是在
规则集合规模较大的情况下
·能够发现最新的未知安全漏洞
（Zero-Day Exploits）
·较少出现虚警信息
·在小规则集合情况下，初始的检测
速度相对较慢
·检测规则比较复杂，难以编写和理
解并且通常是由特定厂商实现
·协议复杂性的扩展以及实际实现的
多样性，容易导致规则扩展的困难
·对发现的攻击行为类型，缺乏明确
的解释信息
DIDS(Distribution Intrusion Detection System)分布式入侵检测系统主要包括3种类型的组件：主机监控器（Host Monitor）、局域网监控器（LAN Monitor）和中央控制台（Director）。

主机监控器由主机事件发生器（Host Event Generator, HEG）和主机代理（Host Agent）组成。

局域网监控器由局域网事件发生器（LAN Event Generator, LEG）和局域网代理（LAN Agent）组成。

控制台主要包括3个部分：通信管理器（Communication Manager）、专家系统和用户接口。

入侵检测专家系统（IDES, Intrusion Detection Expert System）是一个混合型的入侵检测系统，使用一个在当时来说是创新的统计分析算法来检测异常入侵行为，同时，该系统还用一个专家系统检测模块来对已知的入侵攻击模式进行检测。

人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互连而形成的复杂网络系统。

神经网络技术应用于入侵检测领域具有以下优势：
①神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。

②神经网络具备高度的学习和自适应能力。

③神经网络所独有的内在并行计算和存储特性。

神经网络技术在入侵检测中的应用还存在以下缺陷和不足：
①需要解决神经网络对大容量入侵行为类型的学习能力问题。

②需要解决神经网络的解释能力不足的问题。

③执行速度问题。

数据挖掘（Data Mining）是所谓“数据库知识发现”（Knowledge Discovery in Database, KDD）技术中的一个关键步骤，其提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问题，目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。

数据融合（Data fusion）是一种多层次的、多方面的处理过程，这个过程是对多源数据进行检测、结合、相关估计和组合以达到精确的状态估计和身份估计，以及完整、及时的态势评估、本地资产评估和威胁评估。

简言之，数据融合的基本目的就是通过组合，可以比从任何单个输入数据元素获得更多的信息。

进化计算的主要算法包括以下5中类型：遗传算法（Genetic Algorithm, GA）、进化规划(Evolutionary Programming, EP)、进化策略(Evolutionary Strategies, ES)、分类器系统(Classifier System, CFS)和遗传规划(Genetic Programming, GP)。

入侵检测系统的设计考虑用户需求分析
1、检测功能需求
2、响应需求
3、操作需求
4、平台范围需求
5、数据来源需求
6、检测性能需求
7、可伸缩性需求
8、取证和诉讼需求
9、其他需求
系统安全设计原则
1、机制的经济性原则
2、可靠默认原则
3、完全调节原则
4、开放设计原则
5、特权分割原则
6、最小权限原则
7、最小通用原则
8、心理科接受原则系统设计的生命周期
事件生成器从给定的数据来源中（包括主机审计数据、网络数据包和应用程序的日志信息等），生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。

活动档案模块根据新生成的事件，自动更新系统行为的活动档案；规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。

① 数据收集器（又可称为探测器）：主要负责收集数据。

探测器的输入数据流包括任何可能包含入侵行为线索
的系统数据。

比如网络数据包、日志文件和系统调用记录等。

探测器将这些数据收集起来，然后发送到检测器进行处理。

② 探测器（又可称为分析器或检测引擎）：负责分析和检测入侵的任务，并发出警报信号。

③ 知识库：提供必要的数据信息支持。

例如用户历史活动档案，或者是检测规则集合等。

④ 控制器：根据警报信号，人工或者自动做出反应动作。

活动档案
（Activity Profile ） 规则库
（Ruleset ）
时钟
事件生成器 （Event Generator ）
审计记录/网络数据包/应用程序日志
通用入侵检测模型
知识库
检测器
配置信息 控制器
数据收集器
警报信息
目标系统
审计数据等
控制动作
通用入侵检测系统模型
P2DR模型是一个动态的计算机系统安全理论模型。

P2DR是Policy(策略)、Protection(防护)、Detection(检测)和Response（响应）的缩写，特点是动态性和基于时间的特性。

Protection
Policy
Detection
Response
P2DR安全模型
①策略：P2DR模型的核心内容。

具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的
各种具体安全措施及其实施强度等。

安全措施的实施必然会影响到系统运行的性能，以及牺牲用户操作的舒适度，因此安全策略必须按需而制。

②防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备，例如防火墙、VPN
设备等。

③检测：在采取各种安全措施中，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。

④响应：当发现了入侵活动或入侵结果后，需要系统做出及时的反应并采取措施，其中包括：记录入侵行为、
通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。

原型实现
用户反馈
功能定义
需求定义
系统设计的生命周期
整个周期过程是螺旋式上升过程，前一个周期的原型实现阶段完成后，在经过一个用户反馈的环节后，再次进入下一个周期过程中的需求定义环节。

在新的需求定义阶段，将根据用户的需求反馈意见，再次更改原有的需求定义和分析规范，形成新的需求定义文档，从而推动下一个设计的周期过程。

如此循环反复，直至满足设定的要求。