入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入侵检测是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。完成入侵检测功能的软件和硬件组合便是入侵检测系统。

    一个入侵检测系统是否高效，主要取决于入侵检测系统使用的检测方法。IDS通常使用两种基本的分析方法来分析事件、检测入侵行为，即误用检测（Misuse Ddtection）和异常检测（Anomaly Detection）。误用检测的目标是发现已知的入侵模式，它是大部分商业IDS产品采用的分析方法。异常分析方法则试图检测出系统行为的异常模式。两种分析方法各有优缺点，最有效的IDS应该是主体技术使用误用检测，结合使用异常检测技术。

    误用检测是对不正常的行为进行建模，这些行为是以前记录下来的确认了的误用或攻击。误用检测器分析系统的活动，发现那些与被预先定义好的攻击特征相匹配的事件或事件集。由于与攻击相对应的模式是特征，误用检测往往也被称为基于特征的检测。目前的做法多是将每一个攻击事件的模式定为一个独立的特征，从而对入侵行为的检测就成为对特征的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击，否则就认为不是攻击。当然实际情况要复杂得多。

    误用检测可以有效地检测到已知攻击，产生的误报比较少，但它需要不断地更新攻击特征库，才能检测出比较新的攻击，因此，系统的灵活性和自适应性比较差，漏报也比较多。

    异常检测是对正常行为建模，所有不符合这个模型的事件就被怀疑为攻击。异常检测首先收集一段时期正常操作活动的历史数据，建立代表用户、主机或网络连接的正常行为轮廓。然后收集事件数据，并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式，这些方法主要有阈值检测、统计方法等，还有一些新的技术，如神经网络等。

    异常检测在没有详细的特定知识条件下，可以检测出攻击的特征，产生的信息可以作为误用检测器的特征输入信息，但这种检测方式产生的误报比较多。

    下面简要介绍入侵检测系统中用到的入侵检测方法。

    1）模式匹配

    模式匹配的方法用于误用检测。它建立一个攻击特征库，并检查发送过来的数据是否包含这些攻击特征（如特定的命令等），然后判断它是不是攻击。这是最传统、最简单的入侵检测方法。它的算法简单、准确率高，缺点是只能检测已知攻击，模式库需要不断更新，另外对于高速大规模网络，由于要分析处理大量的数据包，因此这种方法的速度将成为问题。

    2）统计分析

    统计分析用于异常检测。它通过设置极限阈值等方法，将检测数据与已有的正常行为加以比较，如果超出极限值，就认为是入侵行为。

常用的入侵检测5种统计模型为：

    ● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

    ● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

    ● 多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

    ● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

    ● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

    统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

    3）专家系统

    用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

    4）协议分析

    协议分析是新一代入侵检测系统探测攻击的主要技术，它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术的提出弥补了模式匹配技术的一些不足，如计算量大，探测准确性低等。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量，从而提高了解析的速度。由于协议比较规范，因此协议分析的准确率比较高。另外协议分析技术还可以探测碎片攻击。

    5）数据挖掘

    如今数据挖掘技术在入侵检测中得到了广泛的应用，取得了不少成果，其中比较常用的有关联规则、序列规则、联结分析和分类算法等方法，对于发现新的攻击和更好地描述用户正常行为有了很好的效果。同时也出现了几个比较成熟的应用数据挖掘技术的入侵检测系统，如JAM、MADAM等。数据挖掘，也称数据库中的知识发现（KDD），KDD一词首次出现在1989年8月举行的第11届国际联合人工智能学术会议上。1995年在加拿大召开的第1届知识发现和数据挖掘国际学术会议后，数据挖掘开始流行，它是知识发现概念的深化，人工智能、机器学习与数据库相结合的产物。数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识一般可表示为概念、规则、规律和模式等形式。

    数据挖掘系统的理想情况是一个自治的学习代理，自动地探索有用的和令人感兴趣的信息，并以适当的形式报告其发现结果。数据挖掘要经过数据采集、预处理、数据分析、结果表述等一系列过程，最后将分析结果呈现在用户面前。

    数据挖掘技术在入侵检测中主要有两个方向：一是发现入侵的规则、模式，与模式匹配检测方法相结合；二是用于异常检测，找出用户正常行为，创建用户的正常行为库。提出这个技术的目的之一是为了弥补模式匹配技术对未知攻击无能为力的弱点。

    数据挖掘在入侵检测领域有着很好的发展前景，但这项技术还有一些问题需解决。它需要大量的数据，系统庞大而复杂，前期所需要的训练数据来之不易，比较昂贵，挖掘大量的数据需要花费计算力、时间和内存，很难做到保证检测的实时性。但是如数据不完整，不能很好地描述特征轮廓，势必会带来准确率的问题。另外在异常检测领域，利用数据挖掘所建立的正常特征轮廓一般都是可学习的，可适应用户自身变化的需求，同时也带来了隐患，黑客可慢慢训练统计模型，使一些行为被认为是正常的。

    6）数据融合

    目前，数据融合是针对一个系统中使用多个或多类传感器这一特定问题展开的一种新的数据处理方法，因此数据融合又称多传感器信息融合或信息融合。多传感器系统是数据融合的硬件基础，多源信息是数据融合的加工对象，协调优化和综合处理是数据融合的核心。数据融合系统主要有局部式和全局式两种形式。局部式也称自备式，这种数据融合系统收集来自单个平台的多个传感器的数据，也可用于检测对象相对单一的智能检测系统中；全局式也称区域式，这种数据融合系统组合和相关来自空间和时间上各不相同的多平台、多传感器的数据，多传感器数据融合在解决探测、跟踪和识别等问题方面，具有以下特点：生存能力强，扩展了空间、时间覆盖范围，提高了可信度，降低了信息的模糊度，改进了探测性能，提高了空间分辨力，改善了系统可靠性。

    基于数据融合的入侵检测系统提供的信息是有关当前态势的，由于使用的数据是来自多个传感器，并采用了智能攻击分析，从而减少了误报的数量，因此基于数据融合的入侵检测系统提供的信息质量非常高。要建立基于数据融合的IDS，需采用支持多层抽象的框架。Bass列出了IDS数据融合模型的5层功能：

    第0层：过滤原始数据；

    第1层：对数据进行联合和关联，把对象的上下文放在对象库中；

    第2层：根据对象的协同行为、依赖性、同样的起源、两样的目标、相关攻击率等高层属性，针对对象聚合集进行检测；

    第3层：对当前态势进行评估，对将来的威胁进行预测；

    第4层：为了简化检测，对整个过程进行精简。

    当入侵检测系统发展和应用到一定程度以后，对入侵检测系统进行测试和评估就成了一件很重要的事。各方都希望有方便的工具、合理的方法对入侵检测系统进行科学、公正并且可信的测试和评估。

    测试评估入侵检测系统的具体性能指标主要有： ①检测率、误报率及检测可信度；②本身的抗攻击能力；③其它性能指标如延迟时间、资源的占用情况、负荷能力、日志、报警、报告以及响应能力、系统的可用性。

    从最近几年的发展趋势看，入侵技术的发展与演化主要反映在以下几个方面：①入侵和攻击的复杂化与综合化；②入侵主体的间接化，即实施入侵和攻击的主体的隐蔽化；③入侵和攻击的规模扩大；④入侵和攻击技术的分布化；⑤攻击对象的转移。

    从上面5个方面看入侵检测技术的主要发展方向：①改进检测方法，提高检测准确率，减少漏报和误报；②检测和防范分布式攻击和拒绝服务攻击；③实现入侵检测系统与其它安全部件的互动；④入侵检测系统的标准化工作；⑤入侵检测系统的测试和评估。

    入侵检测是对防火墙非常有益的补充，入侵检测系统能使在入侵对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。

    入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，入侵检测己经受到人们的高度重视，国内外对入侵检测系统的研究和产品开发都在蓬勃发展之中。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。