摘要：入侵检测是对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。本文主要阐述了入侵检测系统的基本概念、分类、方法技术和发展趋势。
　　关键词：网络安全；入侵检测；IDS
　　1980年，Anderson]～次提出了入侵检测的概念。他将入侵行为划分为外部闯入、内部授权、用户的越权使用和滥用等三种类型，并提出用审计追踪监视入侵威胁。1987年，Denning首次提出异常检测抽象模型，将入侵检测作为一种计算机系统的安全防御措施。美国国际计算机安全协会（ICSA）对入侵检测的定义是：入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
　　1、入侵检测系统的分类
　　从系统结构上分，入侵检测系统（IDS）可分为：
　　（1）基于主机的入侵检测系统（HIDS）目标是对给定主机的用户、系统活动和攻击进行监视、检测和响应。有一些HIDS还提供审计策略管理、统计分析和证据支持，在一些特定的情况下还支持访问控制。NIDS和HIDS和差别就在于前者处理主机和主机之间传输数据，后者则只关心主机本身的事件。基于主机的入侵检测非常适合对抗内部入侵，因为它能对指定用户的行为和对该主机文件进行监视的响应。
　　（2）基于网络的入侵检测系统NIDS监视和检测的是主机与主机间传输的数据信息。通常就是我们所说的抓包，网络入侵检测设备从不同的传输介质上截获数据包，可能是多种协议的数据包。截获后，和已有的攻击特征进行匹配或者根据基于协议的分析技术等进行一系列的分析。无论在什么情况下，NID都被认为只是最基本的边界防御。
　　（3）混合入侵检测提供了基于主机和网络的入侵检测设备和管理和警告，混合入侵检测在逻辑上实现了网络和主机的互补——中央入侵检测管理。
　　2、入侵检测的方法和技术
　　（1）异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同。
　　（2）误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。
　　3、入侵检测系统模型
　　DARPA于1997年建立了公共入侵检测框架CIDF（commonIntrusion Detection Framework），定义了入侵检测系统的体系结构、数据格式和不同功能模块间的调用接口API。体系结构如图1.1所示。
　　CIDF阐述了一个入侵检测系统的通用模型，将入侵检测系统分为4个组件：事件产生器、事件分析器、响应单元及事件数据库。CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。
　　事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。
　　4、入侵检测系统的发展方向
　　随着网络攻击手段向分布式方向发展，且采用了各种数据处理技术，其破坏性和陷落性也越来越强。相应地，入侵检测系统也在向分布式结构发展。采用分布收集信息，分布处理多方协作的方式，将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS，且对处理速度及各相关性能的要求更高。目前已有的IDS还不能满足入侵检测的真正需求。
　　（1）协作式入侵检测技术研究。随着黑客入侵手段的提高，尤其是分布式、协同式、复杂模式攻击的出现和发展，传统、单一缺乏协作的入侵检测技术己不能满足需求，要有充分的协作机制。所谓协作主要包括两方面：事件检测、分析和响应能力。尽管现在最好的商业产品和研究项目中也有简单的协作，但协作是一个重要的发展方向。
　　（2）智能化入侵检测技术。即使用智能化的方法与手段来进行入侵检测。利用专家系统来构建入侵检测系统也是常用的方法，应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。