侵檢測系統(tǒng)常用的入侵檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。而國內的入侵檢測產品中95％是屬于使用入侵模板進行模式匹配的特征檢測產品，其他5％是采用概率統(tǒng)計的統(tǒng)計檢測產品與基于日志的專家知識庫系產品。

特征檢測

特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。

統(tǒng)計檢測

統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測方法5種統(tǒng)計模型為：

1、操作模型，該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統(tǒng)計平均得到，舉例來說，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊；

2、方差，計算參數的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常；

3、多元模型，操作模型的擴展，通過同時分析多個參數實現(xiàn)檢測；

4、馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉移的概率較小則可能是異常事件；

5、時間序列分析，將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。

統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

專家系統(tǒng)

用專家系統(tǒng)這種入侵檢測方法，經常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關鍵。在系統(tǒng)實現(xiàn)中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

文件完整性檢查

這種入侵檢測方法是系統(tǒng)檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數字文摘通過Hash函數計算得到。不管文件長度如何，它的Hash函數計算結果是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。從而，當文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire。

文件完整性檢查系統(tǒng)的優(yōu)點

從數學上分析，攻克文件完整性檢查系統(tǒng)，無論是時間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強勁的檢測文件被修改的工具。實際上，文件完整性檢查系統(tǒng)是一個檢測系統(tǒng)被非法使用的最重要的入侵檢測方法之一。

文件完整性檢查系統(tǒng)具有相當的靈活性，可以配置成為監(jiān)測系統(tǒng)中所有文件或某些重要文件。

當一個入侵者攻擊系統(tǒng)時，他會干兩件事，首先，他要掩蓋他的蹤跡，即他要通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏他的活動；其它，他要作一些改動保證下次能夠繼續(xù)入侵。這兩種活動都能夠被文件完整性檢查系統(tǒng)檢測出。

文件完整性檢查系統(tǒng)的弱點

文件完整性檢查系統(tǒng)依賴于本地的文摘數據庫。與日志文件一樣，這些數據可能被入侵者修改。當一個入侵者取得管理員權限后，在完成破壞活動后，可以運行文件完整性檢查系統(tǒng)更新數據庫，從而瞞過系統(tǒng)管理員。當然，可以將文摘數據庫放在只讀的介質上，但這樣的配置不夠靈活性。

做一次完整的文件完整性檢查是一個非常耗時的工作，在Tripwire中，在需要時可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。

系統(tǒng)有些正常的更新操作可能會帶來大量的文件更新，從而產生比較繁雜的檢查與分析工作，如，在Windows NT系統(tǒng)中升級MS-Outlook將會帶來1800多個文件變化。

【編輯推薦】

1. Snort入侵檢測系統(tǒng)之我見
2. snort入侵檢測安裝及操作方法
3. IPS技術發(fā)展中的三塊絆腳石
4. 假想案例談論IPS系統(tǒng)部署
5. 如何在Linux下實現(xiàn)入侵檢測IDS