入侵检测是继防火墙、数据加密等传统技术之后的新一代网络安全技术。入侵检测作为整体安全方案的一种主动防御技术,可以一定程度地实时检测到入侵行为并及时做出反应。入侵检测系统通过网络或计算机系统中的若干关键点,收集信息并对其进行分析,从中发现是否有违反安全策略的行为和遭到攻击的迹象,从而尽早发现入侵以及入侵企图,并采取记录、报警、隔断等有效措施来阻止入侵。
入侵检测系统的功能主要有,一是监测并分析用户和系统的活动;二是核查系统配置和漏洞;三是评估系统关键资源和数据文件的完整性;四是识别已知的攻击行为;五是统计分析异常行为;六是操作系统日志管理,并识别违反安全策略的用户活动。
入侵检测过程通常分两步,一是信息收集,二是信号分析。信息收集内容主要包括网络系统、数据及用户活动的状态和行为。信号分析过程是依照某种规则对这些收集到的信息进行分析处理,从而判断是否发生入侵。例如,可以通过分析用户的计算机操作行为来实现入侵检测。首先应采集用户键盘、鼠标使用行为的历史记录,然后对当前用户的键盘、鼠标输入行为进行对照分析,一旦发现当前用户的行为和用户历史记录中的行为习惯完全不一致,就可以认定当前用户是在盗用合法用户账号,是非法用户。