入侵检测系统

防火墙可以根据IP和服务端口过滤数据报文，极少深入数据包检查内容（合法IP和端口从事破坏活动）；
防火墙只在网络边界提供安全保护，对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力；

IDS的必要性

在造成损害前切断连接或终止操作
对攻击者震慑作用
可以搜集入侵信息，与防火墙联动更新全工具的配置

IDS体系结构

CIDF通用入侵检测框架

四个组件：

事件产生器：所需要分析的数据都称为事件。可以是网络中的数据包，或是系统日志或进程消息。其作用是从IDS之外的整个计算环境中搜集事件，将这些事件转换为CIDF的GIDO格式像其他组件提供此事件。
事件分析器：分析从其他组件发送来的GIDO，经过分析得到数据，分析产生结构GIDO，并将结果向其他组件分发。（入侵检测的核心，可以用不同算法对其进行精确分析）。
响应单元：处理其他组件发来的GIDO，并作出反应的功能单元，可以作出切断连接、改变文件属性等强烈反应，也可以是简单的报警。
事件数据库：存放各种中间和最终GIDO的介质的统称，可以是复杂的数据库也可以是简单的文本文件。

应用程序：事件产生器+事件分析器+响应单元（数据收集器、数据分析器、控制中心）

文本or数据库：事件数据库

决定主要性能：事件发生器和事件分析器

搜集的原始数据+分析算法的效率

根据事件分析器采用数据来源不同分类：基于主机的入侵检测系统、基于网络的入侵检测系统、分布式的入侵检测系统

根据事件分析器分析算法类型的不同分类：基于异常的入侵检测系统、基于误用的入侵检测系统

核心功能:
对各种事件进行分析，从这个发现违反安全策略的行为

IDS的两大类分析检测方法（基于异常检测、基于误用检测）分别对应经验主义和理性主义

基于误用检测

定义了一套规则来判断特定的行为是否是一个入侵行为。这些规则是基于特征对已知攻击行为的描述（公理）。

优点：误报率低

缺点：对新的入侵行为防范能力很弱

黑名单模式

建立入侵行为特征库

缺点是规则库对系统类型依赖度很高，不同的系统需要有不同的规则库

定义入侵行为数据库，以及匹配与入侵行为分析方法。

专家系统：建立数据库
模式匹配与协议分析
状态建模：入侵行为建模一个行为序列

基于异常检测

通过大量的观察和统计，建立正常行为的轮廓，只要一个行为不严重偏离正常行为轮廓就是一个正常行为，反之则是入侵行为。

优点：检出率高

缺点：误报率高

白名单模式

存在假阳性和假阴性的情况；

难点在于合理的选择阈值，以最大限度地减少误报率和漏报率。阈值的选择是一种折中的艺术。

概率统计入侵检测

系统首先定义一个能够描述合法用户行为的特征数据集合，利用数理统计方法对特征数据进行分析，形成正常行为轮廓。

采用多个变量的统计值进行入侵检测也叫做多元变量的入侵检测

基础是审计记录或日志数据

作用：

对一段时间内的审计记录分析可以缺点平均用户活动曲线，形成合法用户的行为轮廓。
用户当前的审计记录可以作为入侵检测系统的输入，根据当前记录与行为轮廓的偏差判断入侵行为。

原始审计记录：事实上现有的所有操作系统均有系统日志，缺点是原始日志不便于直接分析使用
面向入侵检测的审计记录：专门的审计记录收集工具，优点是可以采用特别地工具满足ids特定的需求，缺点是增加了系统的开销

具体的审计记录至少应当包括以下内容:

主体，行为，客体，异常条件，资源使用情况，时间戳，计数器，计量器，计时器，积分器，定时器

优点：

不需要具备太多系统安全弱点的先验知识，统计本身具有一定的自学习能力（依赖阈值时一种比较粗糙的检测方法）

缺点：

对事件发生的次序不敏感，可能会漏检依赖彼此关联事件的入侵行为。

预测模型入侵检测

马尔可夫过程
时间序列模型

网络中行为是动态变化的，以前合法的行为可能会变成不合法的行为

基于监督学习的入侵检测

KNN（K近邻算法）、决策树（DT）、支持向量机（SVM）

基于无监督学习的入侵检测

K-means聚类、层次聚类