检测技术对入侵行为的检测和发觉的信息安全技术。这一技术通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息,寻找网络或系统中违反信息安全策略的行为和被攻击的迹象侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络信息安全系统受到危害之前拦截和响应入侵。
1980年,J.P.安德森( James p. Anderson)首次详细阐述了入侵检测的概念。在给一个保密客户写的一份题为“计算机安全威胁监控与监视”的技术报告中认为“审计记录可以用于识别计算机误用”,并对“威胁”进行了分类。1986年,乔治敦大学的D.丹宁( Dorothy Denning)和SRI公司计算机科学实验室的P.诺依曼通过研究得出首个实时入侵检测系统的抽象模型——入侵检测专家系统( Intrusion Detection Expert Systems,IDES)。IDES能够检测未授权对象(人或程序)针对信息安全系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作( Misuse),是第一个在一个应用中运用了统计和基于规则两种技术检测计算机网络中策略行为的系统,成为入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的T.赫伯利发表论文《网络安全监控器》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,可在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测技术从此诞生。
入侵检测技术通过监视分析用户及系统活动、审计系统构造和弱点、识别反映已知进攻的活动模式并报警、统计分析异常行为模式、评估重要系统和数据文件的完整性、跟踪管理操作系统的审计等方法来识别用户违反安全策略的行为。入侵检测技术是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息是否有违反安全策略的行为和遭到袭击的迹象,被认为是防火墙之后的第二道安全闸门,可在不影响网络性能的情况下对网络进行监测。
更多内容您可前往信创致远http://www.dengbao110.com/查看。