4.6.1入侵检测概念

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测的工作首先从信息源的收集开始，将信息收集完成后进行数据预处理，建立检测模型，将检测结果与安全策略进行匹配，根据安全策略进行及时的响应处理。所以它应有如下功能:

(1)监视、分析用户及系统活动。

(2)系统构造和弱点的审计。

(3)识别反映已知进攻的活动模式并向相关人士报警。

(4)异常行为模式的统计分析。

(5)评估重要系统和数据文件的完整性。

(6)操作系统的审计跟踪管理，并识别用户违反安全策略的行为。