第 37章 检测系统

    入侵检测（intrusion detection, id）是一种安全技术，旨在识别潜在的恶意活动、未经授权的访问和攻击尝试。入侵检测系统（intrusion detection system, ids）通常监控网络流量、系统和应用程序日志以及其他事件，以寻找可疑的行为模式和异常活动。入侵检测可以分为以下两类：

    1 主机入侵检测系统（hids）：主机入侵检测系统（host-based intrusion detection system，hids）是一种安全技术，用于监视和检测单个计算机或主机上的异常活动和恶意行为。与网络入侵检测系统（nids）不同，hids专注于分析主机上的系统日志、进程活动和文件系统更改。

    hids的主要目标是及早发现入侵企图、未经授权的访问和数据泄露，以便采取适当的措施阻止或减轻攻击。hids通常使用以下方法来检测潜在的入侵：

    1 签名匹配：hids通过将系统事件与已知的攻击特征和恶意活动进行比对来识别入侵。这些特征通常以签名的形式存储，签名可以描述特定的系统调用、文件操作或行为。

    2 异常检测：这种方法侧重于识别与正常或预期活动相比的异常行为。异常检测通常使用统计分析、机器学习或其他高级技术来构建正常行为的基线。

    3 状态分析：状态分析方法跟踪主机系统的状态，以识别潜在的攻击，如rootkit、恶意软件和未授权的系统更改。

    hids可以实时生成警报、日志和报告，以帮助安全团队识别和应对潜在的安全事件。然而，hids可能会产生大量警报，其中一些可能是误报。因此，安全管理员需要仔细分析hids生成的警报，以确定是否需要进一步调查和采取行动。

    2 网络入侵检测系统（nids）：nids监控网络流量，分析数据包和协议以识别潜在的攻击和异常行为。nids可以是基于网络的（部署在网络中的某个位置，以监视所有流量）或基于主机的（部署在特定的主机上，以监视进出该主机的流量）。

    入侵检测系统可以采用以下方法之一来检测入侵：

    1 签名匹配：ids通过将网络流量与已知的攻击特征和恶意活动进行比对来识别入侵。这些特征通常以签名的形式存储，签名可以描述特定的数据包、协议或行为。

    2 异常检测：这种方法侧重于识别与正常或预期活动相比的异常行为。异常检测通常使用统计分析、机器学习或其他高级技术来构建正常行为的基线。

    3 状态分析：状态分析方法跟踪网络连接的状态，以识别潜在的攻击，如端口扫描、分布式拒绝服务（ddos）攻击和会话劫持。

    入侵检测系统可以生成实时警报、日志和报告，以帮助安全团队识别和应对潜在的安全事件。虽然入侵检测系统在识别攻击方面非常有用，但它们并不能完全防止攻击。因此，入侵检测系统通常与其他安全技术（如防火墙、入侵预防系统和安全信息和事件管理（siem）系统）结合使用，以提高整体网络安全。