IDS:是网络安全态势感知的关键技术
    流量探针:政府网站都有

    入侵检测模型:事件产生器(各类信息)、分析器、响应器、事件数据库(存放中间及结果数据)
    IDS不是阻止入侵事件的发生,而是检测发生的入侵事件,相当于”预警机”。

    基于误用的IDS:根据已知的入侵模式检测入侵行为,即建立一个攻击模式库进行模式匹配。
    匹配方法:
    1.条件概率(先验概率难以给出)
    2.状态转移(计算机状态变化检测)
    3.键盘监控(键盘钩子)
    4.基于规则(大多数用的方法)
    基于异常的IDS:需建立用户正常行为特征库,作为比较对象
    检测方法:
    1.统计:用户正常行为特征轮廓
    2.模式预测:服从某个序列关系(考虑相互联系)
    3.文本分类(进程——系统调用格式记录)
    4.贝叶斯((指定时间检测值)
    其他IDS检测方法:
    1.基于规范(指定正常序列)
    2.基于生物免疫(建立自我标签)
    3.攻击诱骗(如蜜罐系统)
    4.基于入侵报警
    5.基于沙箱动态(汇聚各种时态)
    IDS组成及分类:
    (模块)组成:数据采集块、入侵分析引擎模块、应急处理模块、管理配置模块(管理接口)、辅助模块
    分类:
    基于主机(HIDS):分析主机
    基于网络(NIDS):分析网络流量包
    基于分布式(DIDS):多个主机、多个网段
    优缺点:
    HIDS:优 可部署于加密系统 缺 只能监视资源,不防DDOS
    NIDS:优 分析网络流量包,可发现SYNFlood,DDOS,扫描等 缺 高速网络难分析
    DIDS:
    HDIDS
    NDIDS

    统一威胁管理(UTM):安装分 透明网桥路由转发、NAT网关
    APT:综合分析全网入侵检测,静动态等
    检测指标:
    可靠性 可用性 可拓展性
    时效性 准确性 安全性
    应用场景:需要入侵检测就上