入侵检测技术（安全知识丨入侵检测技术详解）

访客2022-12-15 09:43:3632

入侵检测技术，顾名思义是一种主动对入侵行为进行检测，以保护自己免受攻击的安全技术。入侵检测技术通常会作为防火墙的补充，帮助系统应对网络攻击，提高系统的防御能力，保障系统的安全。

按照入侵对象划分

基于主机的入侵检测技术：分析windows或linux下操作系统的事件日志、应用程序的事件日志、端口调用和安全审计记录等数据，当发现新的记录与具有攻击特征的记录有一定匹配度时，会向管理员告警或做出及时响应。

基于网络的入侵检测技术：分析网络来源的数据包，通常利用混杂模式下的以太网卡实时监测数据流，使用模式匹配、统计分析等技术检测攻击行为，当发现可疑行为时，及时作出告警、切断网络连接等响应。

按照分析方法划分

误用检测：先预设一些入侵事件的特征，通过比对现在的事件是否与这些特征匹配来进行检测。依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

异常检测：假设入侵事件的行为异常于所有的正常事件。根据这一思路建立正常事件的“规则”，若当前事件的行为违反“规则”时，认为该事件可能为入侵行为。

● 监视、分析系统或用户行为；

● 系统构造和弱点审计；

● 检测反映已知攻击的事件模式并报警；

● 异常行为的统计分析；

● 评估重要系统和数据文件的完整性；

● 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

随着技术的发展，网络攻击事件层出不穷，新的攻击手段也在不断变化，利用入侵检测技术可以了解网络的安全状况，并根据攻击事件来调整安全策略和防护手段，同时改进实时响应和事后恢复的有效性，为定期的安全评估和分析提供依据，从而提高网络安全的整体水平。