入侵检测（ID，Intrusion Detection）是通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术。

　　入侵检测的内容涵盖了授权的和非授权的各种入侵行为，例如，违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问，以及授权者滥用权力等。

　　用于入侵检测的所有软硬件系统称为入侵检测系统（IDS，Intrusion Detection System）。这个系统可以通过网络和计算机动态地搜集大量关键信息资料，并能及时分析和判断整个系统环境的目前状态，一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等，立即启动有关安全机制进行应对，例如，通过控制台或电子邮件向网络安全管理员报告案情，立即中止入侵行为、关闭整个系统、断开网络连接等。

　　入侵检测技术是动态安全防御的核心技术之一，它与静态安全防御技术（防火墙）相互配合可构成坚固的网络安全防御体系，包括安全审计、监视、进攻识别和响应在内的各种安全管理功能得到加强，进而可以抵御多种网络攻击。

　　目前，根据获取原始数据的方法可以将入侵检测系统分为基于主机的和基于网络的两种类型。基于主机的入侵检测系统（IDS-HIDS）是由D.Denning于1987年提出的，1988年由Teresa Lunt等人做了改进。这种系统是通过监视与分析主机的审计记录实现的，它的关键问题是能否及时准确地采集到审计资料，如果这个采集过程被入侵者控制，那么入侵检测就没有意义了。

　　而基于网络的入侵检测系统（IDS-NIDS）则是由L.T.Heberlein于1990年提出的，其检测方法是通过在共享网段上对通信数据的侦听采集数据，并检测所有数据包的包头信息，分析可疑现象，从而达到入侵检测的目的。这种方法不需要主机提供严格的审计，故较少消耗主机资源。如果采用分布式检测和集中安全管理的方式，则可扩大入侵检测范围，但同时也增加了网络的负担。

　　入侵检测系统可用于动态检测（在线方式），也可用于静态检测（离线方式）。静态检测的主要目的是事后恢复、进一步分析等。

　　入侵检测的一般过程包括采集信息、信息分析和入侵检测响应三个环节。

　　（1）采集信息。采集的主要内容包括系统和网络日志、目录和文件中的敏感数据、程序执行期间的敏感行为，以及物理形式的入侵等。

　　（2）信息分析。主要通过与安全策略中的模式匹配、与正常情况下的统计分析对比、与相关敏感信息属性要求的完整性分析对比等。

　　（3）入侵检测响应，分主动响应和被动响应，主动响应可对入侵者和被入侵区域进行有效控制。被动响应只是监视和发出告警信息，其控制需要人介入。

　　自1980年产生IDS概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

　　入侵检测技术的发展已经历了四个主要阶段：
　　第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低；缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

　　第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组；缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

　　第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理；缺点是可视化程度不够，防范及管理功能较弱。

　　第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即IMS--入侵管理系统。

　　新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统。

　　1．入侵检测技术分类
　　从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

　　（1）基于知识的模式识别
　　这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

　　模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

　　（2）基于知识的异常识别
　　这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立"正常活动档案"，当某种活动与所描述的正常活动存在差异时，就认为是"入侵"行为，进而被检测识别。

　　异常识别的关键是描述正常活动和构建正常活动档案库。
　　利用行为进行识别时，存在四种可能：一是入侵且行为正常；二是入侵且行为异常；三是非入侵且行为正常；四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为"入侵"行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

　　以下是几种基于知识的异常识别的检测方法：
　　1）基于审计的攻击检测技术
　　这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

　　2）基于神经网络的攻击检测技术
　　由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

　　而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

　　3）基于专家系统的攻击检测技术
　　所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

　　4）基于模型推理的攻击检测技术
　　攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

　　使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

　　（3）协议分析
　　这种检测方法是根据针对协议的攻击行为实现的，其基本思想是：首先把各种可能针对协议的攻击行为描述出来，其次建立用于分析的规则库，最后利用传感器检查协议中的有效荷载，并详细解析，从而实现入侵检测。

　　这种检测技术能检测出更为广泛的攻击，包括已知的和未知的攻击行为。

　　2．入侵检测技术的发展趋势
　　随着交换技术、加密信道技术和入侵技术的不断发展，对入侵检测技术的要求也越来越高，检测的方法手段也越来越复杂。

　　（1）入侵技术发展的特点
　　现代入侵技术具有以下一些特点：
　　1）综合化和复杂化；
　　2）间接化；
　　3）规模化；
　　4）分布式；
　　5）范围广。

　　（2）入侵检测存在的问题
　　IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面：
　　1）利用加密技术欺骗IDS；
　　2）躲避IDS的安全策略；
　　3）快速发动进攻，使IDS无法反应；
　　4）发动大规模攻击，使IDS判断出错；
　　5）直接破坏IDS；
　　6）智能攻击技术，边攻击边学习，变IDS为攻击者的工具。

　　（3）入侵检测技术发展趋势
　　1）分布式入侵检测，扩大检测范围和类别；
　　2）智能化入侵检测，自学习、自适应；
　　3）应用层入侵检测；
　　4）高速入侵检测；
　　5）标准化和系统化入侵检测。

　　目前，IDS发展的新趋势主要表现在两个方向上，一个是趋向构建入侵防御系统（IPS）。IPS是在IDS中增加主动响应功能实现的，并以串联方式接入网络（IDS是以并联方式接入网络的），一旦发现有攻击行为，则立即响应，主动切断与攻击者的连接。IPS不仅具有入侵检测功能，还具有安全防护功能；二是趋向构建入侵管理系统（IMS）。IMS是IDS发展的另一个方向，IMS的目标是将入侵检测、脆弱性分析，以及入侵防御等多种功能集成到一个平台上进行统一管理。IMS技术是一个管理过程，在未发生攻击时，IMS主要考虑网络中的漏洞信息，评估和判断可能形成的攻击和将面临的威胁；在发生攻击或即将发生攻击时，不仅要检测出入侵行为，还要主动响应和防御入侵行为；在受到攻击后，还要深入分析入侵行为，并通过关联分析来判断可能出现的下一个攻击行为。

　　入侵检测是一门综合性技术，既包括实时检测技术，也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全，但不同的用户需求也不同。由于攻击的不确定性，单一的IDS产品可能无法做到面面俱到。因此，IDS的未来发展必然是多元化的，只有通过不断改进和完善才能更好地协助网络进行安全防御。