整理from:  infosec.pku.edu.cn 
未完
--------------------------------------------

入侵檢測系統（IDS，Instruction Detection System）：進行入侵檢測的軟件和硬件的組合。

審計技術：產生、記錄并檢查按時間順序排列的系統事件記錄的過程。

審計的目標：

­            確定和保持系統活動中每個人的責任

­            重建事件

­            評估損失

­            檢測系統的問題區

­            提供有效的災難恢復

­            組織系統的不正當使用

審計的前提：有一個支配審計的規則集。

規則集：通常以安全策略的形式明確表述。

精簡審計，風險和威脅分類。

實時入侵檢測系統，提出反常活動與計算機不正當使用之間的相關性。

基于主機的入侵檢測

基于主機和基于網絡入侵檢測的集成

《Computer Security Threat Monitoring and Surveillance》, James P. Anderson

《計算機安全威脅監控與監視》

­            精簡審計的目標在于從安全審計跟蹤數據中消除冗余或無關的記錄。

­            計算機系統威脅分類：外部滲透、內部滲透和不法行為。

­            提出了利用審計數據跟蹤監視入侵活動的思想。

NSM(Network Security Minitor)

­            第一次將網絡流作為審計數據的來源，因而可以在不將審計數據轉換成統一格式的情況下監控異形主機。

­            兩大陣營正式成立：基于網絡的IDS和基于主機的IDS

DIDS //???

最早試圖把基于主機和網絡監視的方法集成在一起。

三個功能部件：信息收集、信息分析、信息處理。

1．信息收集：

系統或網絡的日志文件。日志中記錄了行為類型及其信息。

如“用戶活動”：

­            信息：登陸，用戶ID改變，用戶對文件的訪問，授權，認證信息等。

­            不期望的行為：重復登陸失敗，登錄到不期望的位置，非授權的企圖訪問重要文件等。

2．信息分析：

模式匹配（誤用檢測）

­            將收集到的信息與已知網絡入侵和系統誤用模式的數據庫進行比較，從而發現違背安全策略的行為。

­            一般一個進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。

統計分析（異常檢測）

­            首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數、延時等）。

­            測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常范圍之外時，就認為有入侵發生。

完整性分析（往往用于事后分析）

­            主要關注某個文件或對象是否被更改。經常包括文件和目錄的內容和屬性，它在發現被更改的、被安裝木馬的應用程序方面特別有效。

3．信息處理