2．入侵檢測技術

入侵檢測是指“通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測系統( Intru-sion Detection System，簡稱IDS)指對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統，是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

入侵檢測技術按照檢測方法劃分可以分為異常檢測技術和誤用檢測技術兩種。其中異常檢測模型( Anomaly Detection)是指檢測與可接受行為之間的偏差，這種檢測模型漏報率低，誤報率高。誤用檢測模型( Misuse Detection)是指檢測與已知的不可接受行為之間的匹配程度，這種檢測模型誤報率低、漏報率高。

按照檢測對象劃分可以分為基于主機和基于網絡的兩種類型。基于主機的技術主要是對主機操作系統的事件日志、應用程序的事件日志、系統調用、端口調用等記錄進行安全審計。主機型入侵檢測系統保護的一般是所在的主機系統，是由運行在主機上的代理( agent)與命令控制臺( console)通信來實現的。基于網絡的技術主要是對網絡上的數據包進行分析。網絡型入侵檢測系統保護的是相應的網段，是由網絡鏡像端口傳送數據包或由傳感器( sensor)嗅探數據包與命令控制臺進行通信。