图片41

IDS常用的检测方法是特征检测。统计检测和专家系统。现有的IDS大多数都属于利用入侵模板来进行模式匹配的特征检测系统，其它的则是基于概率统计和基于日志的统计检测系统。

(1)鉴别特性。

特性检测可以确定地描述已知的攻击或者入侵行为，从而形成相应的事件模式。如果审核事件与已知的入侵事件类型相符，也就是报警。原则上类似于专家系统。它的检测方法和计算机病毒相似。模式匹配是当前应用较多的一种基于特征描述的方法。

这种方法预测预测准确率很高，但是对无经验知识的入侵和攻击却无能为力。

(2)统计检验。

统计学模型常用异常检测，统计模型中常用的测量参数有：审核事件的数目、间隔时间、资源消耗等。常见的入侵检测统计模型包括马尔科夫过程模型和时间序列分析模型。统计学检测是以用户的历史行为为基础，并以早期的证据或模型为基础，实时监测用户对系统的使用情况。该检测是以系统内部保存的用户行为概率统计模型为基础，一旦发现可疑用户行为，就追踪.监控.记录用户行为。

它最大的优势在于它能“了解”用户的使用习惯，从而达到更高的检出率和可用性。但其“学习”能力也为入侵者提供了机会。通过逐步“训练”，入侵者能够通过入侵探测系统使入侵事件符合统计规律。

(3)专家制度。

利用专家系统来检测入侵，常常以特征入侵为目标。所谓规则就是知识，不同的系统有不同的设置规则，而且它们之间常常没有通用性。知识体系的建立有赖于知识库的完整性，而知识库的完整性又取决于审计记录的完整性和实时性。特征提取和表示是入侵检测专家系统研究的重点。

它依据安全专家对可疑行为的分析经验，建立一套推理规则，并据此构建相应的专家系统，从而使专家系统能够自动地对涉及的入侵行为进行分析。本制度应能根据自己的自主性，随着经验的积累，进行规则的扩展与修正。