整理from:  infosec.pku.edu.cn 
未完
--------------------------------------------

入侵检测系统（IDS，Instruction Detection System）：进行入侵检测的软件和硬件的组合。

审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。

审计的目标：

­            确定和保持系统活动中每个人的责任

­            重建事件

­            评估损失

­            检测系统的问题区

­            提供有效的灾难恢复

­            组织系统的不正当使用

审计的前提：有一个支配审计的规则集。

规则集：通常以安全策略的形式明确表述。

精简审计，风险和威胁分类。

实时入侵检测系统，提出反常活动与计算机不正当使用之间的相关性。

基于主机的入侵检测

基于主机和基于网络入侵检测的集成

《Computer Security Threat Monitoring and Surveillance》, James P. Anderson

《计算机安全威胁监控与监视》

­            精简审计的目标在于从安全审计跟踪数据中消除冗余或无关的记录。

­            计算机系统威胁分类：外部渗透、内部渗透和不法行为。

­            提出了利用审计数据跟踪监视入侵活动的思想。

NSM(Network Security Minitor)

­            第一次将网络流作为审计数据的来源，因而可以在不将审计数据转换成统一格式的情况下监控异形主机。

­            两大阵营正式成立：基于网络的IDS和基于主机的IDS

DIDS //???

最早试图把基于主机和网络监视的方法集成在一起。

三个功能部件：信息收集、信息分析、信息处理。

1．信息收集：

系统或网络的日志文件。日志中记录了行为类型及其信息。

如“用户活动”：

­            信息：登陆，用户ID改变，用户对文件的访问，授权，认证信息等。

­            不期望的行为：重复登陆失败，登录到不期望的位置，非授权的企图访问重要文件等。

2．信息分析：

模式匹配（误用检测）

­            将收集到的信息与已知网络入侵和系统误用模式的数据库进行比较，从而发现违背安全策略的行为。

­            一般一个进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。

统计分析（异常检测）

­            首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数、延时等）。

­            测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常范围之外时，就认为有入侵发生。

完整性分析（往往用于事后分析）

­            主要关注某个文件或对象是否被更改。经常包括文件和目录的内容和属性，它在发现被更改的、被安装木马的应用程序方面特别有效。

3．信息处理