图片49

入侵检测是物联网安全的重要组成部分。按照其来源不同，入侵检测可分为基于网络的入侵检测和基于主机的入侵检测。当前在入侵检测中所使用的技术主要包括异常检测和误用检测，同时对多种入侵检测技术进行了研究，如免疫系统检测、遗传算法、内核系统检测等。

入侵检测(Intrusion Detection)的概念最早是由James Anderson在1980年提出的。它是指信息系统中的非授权访问或活动，它不仅涉及非系统用户非授权地登录系统和使用系统资源，而且还包括系统内的用户滥用权利给系统造成的损害，例如非法盗用他人帐户.非法取得系统管理员权限.修改或删除系统文件等。

网络入侵检测是指对正在进行的入侵企图或已有入侵行为进行识别的过程。它包含两层含义：一是对外部(非授权使用)行为的检测；二是对内部用户(合法用户)滥用其权利进行检测。

其内容包括：企图侵入.成功闯入.冒充其他用户.违反安全政策.合法用户帐户信息的泄漏.独占资源和恶意使用。执行入侵检测的软件和硬件结合在一起，就是入侵检测系统(Intrusion Detection System)。该系统通过从计算机网络或计算机系统的关键位置收集信息，进行分析，发现网络或系统中是否存在违反安全策略的行为，并对此作出反应。入侵检测的某些反应是自动的，例如(通过控制台或电子邮件)通知网络安全管理员、中止入侵程序、关闭系统、断开与因特网的连接、使用户不能工作、执行预设命令等等。

它作为防火墙后面的第二道安全门，提供了对内部攻击、外部攻击和误操作的实时保护。所有这些保护都通过其执行下列任务来实现：

监控。对用户和系统进行分析，找出非法用户和合法用户的越权操作；

②审核体系结构及薄弱环节，提示管理者修补漏洞；

③识别反映已知攻击的活动模式，向相关人员报警，实时响应检测到的入侵行为；

④对异常行为进行统计分析，发现入侵行为规律；

⑤评价重要系统和数据文件的完整性，例如计算和比较检查文件系统；

⑥审核对操作系统的管理，并识别用户违反安全政策的行为。