入侵檢測：通過收集操作系統(tǒng)、系統(tǒng)程序、應用程序、網絡包信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為。

具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)，簡稱為IDS。

通用入侵檢測模型

通用入侵檢測框架模型（CIDF）認為入侵檢測系統(tǒng)由事件產生器、事件分析器、響應單元、事件數(shù)據(jù)庫組成。

?

基于誤用的入侵檢測技術

檢測與已知的不可接受行為之間的匹配程度。

這種檢測模型誤報率率、漏報率高。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

?

基于異常的入侵檢測技術

檢測與可接受行為之間的偏差。

漏報率低，誤報率高。因為不需要對每鐘入侵行為進行定義，所以能有效檢測未知的入侵。

入侵檢測系統(tǒng)組成

以下功能快組成：

①數(shù)據(jù)采集模塊（數(shù)據(jù)采集）：為入侵分析引擎模塊提供分析用的數(shù)據(jù)。如操作系統(tǒng)的審計日志、應用程序的運行日志、網絡數(shù)據(jù)包；

②入侵分析引擎模塊（入侵檢測器）：依據(jù)輔助模塊提供的信息（如攻擊模式），根據(jù)算法對收集到的數(shù)據(jù)進行分析，判斷是否有入侵行為出現(xiàn)，產生入侵報警，是入侵檢測系統(tǒng)的核心模塊；

③應急處理模塊（應急措施）：發(fā)生入侵后，提供緊急響應服務，如關閉網絡服務、中斷網絡連接、啟動備份系統(tǒng)等；

④管理配置模塊（配置系統(tǒng)庫）：為其他模塊提供配置服務，是IDS系統(tǒng)中的模塊與用戶的接口；

⑤相關的輔助模塊（攻擊模式庫）：協(xié)助乳清分析引擎模塊工作，為它提供相應的信息，攻擊特征庫、漏洞信息等。

?

統(tǒng)一威脅管理（UTM）

統(tǒng)一威脅管理是指一個功能全面的安全產品，它將多種安全特性集成與一個硬件設備里，形成標準的統(tǒng)一威脅管理平臺，防范多種威脅。UTM產品通常包括防火墻，防病毒軟件，內容過濾和垃圾郵件過濾器。如H3C SecPath U200-CA。

UTM通常部署在內部網絡與外部網絡的邊界，對流出和進入內部網絡的數(shù)據(jù)進行保護和控制。UTM在實際網絡中的部署方式包括透明網橋、路由轉發(fā)和NAT網關。

高級持續(xù)威脅（APT）

高級持續(xù)威脅包括三要素：高級、長期、威脅。

①高級強調的是使用復雜精密的惡意軟件及技術以利用系統(tǒng)中的漏洞；

②長期指某個外部力量會持續(xù)監(jiān)控特定的目標，并從其獲取數(shù)據(jù)；

③威脅則指人為參與與策劃攻擊。

入侵檢測系統(tǒng)部署

IDS應當旁路部署在所有關注流量都必須流經的鏈路上。

IDS部署在盡可能靠近攻擊源或盡可能靠近受保護資源的位置，如：

①服務器區(qū)域的交換機上；

②Internet接入路由器之后的第一臺交換機上；

③重點保護網段的局域網交換機上。

?

或

?

?

總結

以上是生活随笔為你收集整理的信息安全工程师笔记-入侵检测技术原理与应用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。