入侵檢測系統(tǒng)（intrusion detection system，簡稱 “IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

IDS 是計(jì)算機(jī)的監(jiān)視系統(tǒng)，它通過實(shí)時(shí)監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。以信息來源的不同和檢測方法的差異分為幾類：

根據(jù)信息來源可分為基于主機(jī) IDS 和基于網(wǎng)絡(luò)的 IDS，根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。

不同于防火墻，IDS 入侵檢測系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

入侵檢測（Intrusion Detection）是對(duì)入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 　　入侵檢測技術(shù) 　　入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) 　　入侵檢測技術(shù)的分類： 　　入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。 　　1 ．特征檢測： 　　特征檢測 (Signature-based detection) 又稱 Misuse detection ，這一檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。 　　2 ．異常檢測： 　　異常檢測 (Anomaly detection) 的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)簡檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)簡檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。 　　入侵檢測系統(tǒng)的工作步驟 　　對(duì)一個(gè)成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。 　　信息收集 　　入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。 　　當(dāng)然，入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來報(bào)告這些信息。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫和其它工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實(shí)際上不是。例如，unix系統(tǒng)的PS指令可以被替換為一個(gè)不顯示侵入過程的指令，或者是編輯器被替換成一個(gè)讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。 　　1.系統(tǒng)和網(wǎng)絡(luò)日志文件 　　 　　黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對(duì)用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。 　　2.目錄和文件中的不期望的改變 　　網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。 　　3.程序執(zhí)行中的不期望行為 　　網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。 　　一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。 　　4. 物理形式的入侵信息 　　這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全（未授權(quán)）設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。例如，用戶在家里可能安裝Modem以訪問遠(yuǎn)程辦公室，與此同時(shí)黑客正在利用自動(dòng)工具來識(shí)別在公共電話線上的Modem，如果一撥號(hào)訪問流量經(jīng)過了這些自動(dòng)工具，那么這一撥號(hào)訪問就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會(huì)利用這個(gè)后門來訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量，進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。 　　信號(hào)分析 　　 　　對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測，而完整性分析則用于事后分析。 　　1. 模式匹配 　　模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個(gè)簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。 　　2.統(tǒng)計(jì)分析 　　統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳戶卻在凌晨兩點(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。 　　3.完整性分析 　　 　　完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。 　　入侵檢測系統(tǒng)典型代表 　　入侵檢測系統(tǒng)的典型代表是ISS公司（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）的RealSecure。它是計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)實(shí)時(shí)的入侵檢測和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測和響應(yīng)可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用，從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。 　　入侵檢測功能 　　·監(jiān)督并分析用戶和系統(tǒng)的活動(dòng) 　　·檢查系統(tǒng)配置和漏洞 　　·檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 　　·識(shí)別代表已知攻擊的活動(dòng)模式 　　·對(duì)反常行為模式的統(tǒng)計(jì)分析 　　·對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動(dòng)。 　　·入侵檢測系統(tǒng)和漏洞評(píng)估工具的優(yōu)點(diǎn)在于： 　　·提高了信息安全體系其它部分的完整性 　　·提高了系統(tǒng)的監(jiān)察能力 　　·跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 　　·識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 　　·發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正 　　·識(shí)別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以作出防御反應(yīng) 　　·可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中 　　·允許非專家人員從事系統(tǒng)安全工作 　　·為信息安全策略的創(chuàng)建提供指導(dǎo) 　　·必須修正對(duì)入侵檢測系統(tǒng)和漏洞評(píng)估工具不切實(shí)際的期望：這些產(chǎn)品并不是無所不能的，它們無法彌補(bǔ)力量薄弱的識(shí)別和確認(rèn)機(jī)制 　　·在無人干預(yù)的情況下，無法執(zhí)行對(duì)攻擊的檢查 　　·無法感知公司安全策略的內(nèi)容 　　·不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議的漏洞 　　·不能彌補(bǔ)由于系統(tǒng)提供信息的質(zhì)量或完整性的問題 　　·它們不能分析網(wǎng)絡(luò)繁忙時(shí)所有事務(wù) 　　·它們不能總是對(duì)數(shù)據(jù)包級(jí)的攻擊進(jìn)行處理 　　·它們不能應(yīng)付現(xiàn)代網(wǎng)絡(luò)的硬件及特性 　　入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段，或者是防火墻中集成較為初級(jí)的入侵檢測模塊。可見，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究