入侵检测的概念

入侵检测（ID，Intrusion Detection）是通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术。
入侵检测的内容涵盖了授权的和非授权的各种入侵行为，例如，违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问，以及授权者滥用权力等。
用于入侵检测的所有软硬件系统称为入侵检测系统（IDS，Intrusion Detection System）。这个系统可以通过网络和计算机动态地搜集大量关键信息资料，并能及时分析和判断整个系统环境的目前状态，一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等，立即启动有关安全机制进行应对，例如，通过控制台或电子邮件向网络安全管理员报告案情，立即中止入侵行为、关闭整个系统、断开网络连接等。
入侵检测技术是动态安全防御的核心技术之一，它与静态安全防御技术（防火墙）相互配合可构成坚固的网络安全防御体系，包括安全审计、监视、进攻识别和响应在内的各种安全管理功能得到加强，进而可以抵御多种网络攻击。
目前，根据获取原始数据的方法可以将入侵检测系统分为基于主机的和基于网络的两种类型。基于主机的入侵检测系统（IDS-HIDS）是由D.Denning于1987年提出的，1988年由Teresa Lunt等人做了改进。这种系统是通过监视与分析主机的审计记录实现的，它的关键问题是能否及时准确地采集到审计资料，如果这个采集过程被入侵者控制，那么入侵检测就没有意义了。
而基于网络的入侵检测系统（IDS-NIDS）则是由L.T.Heberlein于1990年提出的，其检测方法是通过在共享网段上对通信数据的侦听采集数据，并检测所有数据包的包头信息，分析可疑现象，从而达到入侵检测的目的。这种方法不需要主机提供严格的审计，故较少消耗主机资源。如果采用分布式检测和集中安全管理的方式，则可扩大入侵检测范围，但同时也增加了网络的负担。
入侵检测系统可用于动态检测（在线方式），也可用于静态检测（离线方式）。静态检测的主要目的是事后恢复、进一步分析等。
入侵检测的一般过程包括采集信息、信息分析和入侵检测响应三个环节。
（1）采集信息。采集的主要内容包括系统和网络日志、目录和文件中的敏感数据、程序执行期间的敏感行为，以及物理形式的入侵等。
（2）信息分析。主要通过与安全策略中的模式匹配、与正常情况下的统计分析对比、与相关敏感信息属性要求的完整性分析对比等。
（3）入侵检测响应，分主动响应和被动响应，主动响应可对入侵者和被入侵区域进行有效控制。被动响应只是监视和发出告警信息，其控制需要人介入。