入侵检测系统常用的检测方法有特征检测方法、统计检测方法与专家系统检测方法。目前市场上的入侵检测产品中,绝大部分属于使用入侵模板进行模式匹配的特征检测产品。
1.特征检测方法
特征检测对已知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被检测的事件与已知的入侵事件模式相匹配时系统立即报警。特征检测对已知的入侵和攻击模式准确率较高,但对于未知的入侵与攻击模式无能为力,其工作机制与计算机病毒检测方式类似。目前基于对数据包特征描述的模式匹配应用较为广泛。
2.统计检测方法
统计检测的目的主要是判别发生的事件是否异常,它是基于统计模型进行的。统计模型检测中常常检测的内容包括事件的数量、间隔时间、资源消耗情况等。统计检测方法的最大优点是它可以“学习”事件发生的规律,具有较高的检出率与可用性。但是它的“学习”能力也给入侵者以“训练”的机会,入侵者可以通过逐步使入侵事件符合正常操作的统计规律来骗过入侵检测系统。
3.专家系统检测方法
专家系统的入侵检测方法是基于知识库规则的检测,通常是针对有特征的入侵行为。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵事件特征的提取和知识的表达,是建立入侵检测专家系统的关键。在系统实现中,通常将入侵的特征和防范措施放入if-then结构的启发式知识库规则中,规则的条件部分(if)为入侵特征,规则的动作部分(then)是系统防范措施。运用专家系统防范有特征的入侵行为的有效性,完全取决于专家系统知识库的有效性。
