入侵系統(tǒng)常用的檢測方法(簡述入侵檢測常用的四種方法)

1.簡述入侵檢測常用的四種方法

1）特征檢測 特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。

當(dāng)被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。

其檢測方法上與計算機(jī)病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報檢測的準(zhǔn)確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。 2）統(tǒng)計檢測 統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。

統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

3）專家系統(tǒng) 用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。

專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。

在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

4）文件完整性檢查 文件完整性檢查系統(tǒng)檢查計算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數(shù)字文摘通過Hash函數(shù)計算得到。不管文件長度如何，它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字。

與加密算法不同，Hash算法是一個不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。

從而，當(dāng)文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

2.入侵檢測系統(tǒng)的檢測方法

在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測方法： 基于貝葉斯推理檢測法：是通過在任何給定的時刻，測量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件。 基于特征選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進(jìn)行預(yù)測或分類。 基于貝葉斯網(wǎng)絡(luò)檢測法：用圖形方式表示隨機(jī)變量之間的關(guān)系。通過指定的與鄰接節(jié)點相關(guān)一個小的概率集來計算隨機(jī)變量的聯(lián)接概率分布。按給定全部節(jié)點組合，所有根節(jié)點的先驗概率和非根節(jié)點概率構(gòu)成這個集。貝葉斯網(wǎng)絡(luò)是一個有向圖，弧表示父、子結(jié)點之間的依賴關(guān)系。當(dāng)隨機(jī)變量的值變?yōu)橐阎獣r，就允許將它吸收為證據(jù)，為其他的剩余隨機(jī)變量條件值判斷提供計算框架。

基于模式預(yù)測的檢測法：事件序列不是隨機(jī)發(fā)生的而是遵循某種可辨別的模式是基于模式預(yù)測的異常檢測法的假設(shè)條件，其特點是事件序列及相互聯(lián)系被考慮到了，只關(guān)心少數(shù)相關(guān)安全事件是該檢測法的最大優(yōu)點。 基于統(tǒng)計的異常檢測法：是根據(jù)用戶對象的活動為每個用戶都建立一個特征輪廓表，通過對當(dāng)前特征與以前已經(jīng)建立的特征進(jìn)行比較，來判斷當(dāng)前行為的異常性。用戶特征輪廓表要根據(jù)審計記錄情況不斷更新，其保護(hù)去多衡量指標(biāo)，這些指標(biāo)值要根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計而得到。 基于機(jī)器學(xué)習(xí)檢測法：是根據(jù)離散數(shù)據(jù)臨時序列學(xué)習(xí)獲得網(wǎng)絡(luò)、系統(tǒng)和個體的行為特征，并提出了一個實例學(xué)習(xí)法IBL,IBL是基于相似度，該方法通過新的序列相似度計算將原始數(shù)據(jù)（如離散事件流和無序的記錄）轉(zhuǎn)化成可度量的空間。然后，應(yīng)用IBL學(xué)習(xí)技術(shù)和一種新的基于序列的分類方法，發(fā)現(xiàn)異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。

數(shù)據(jù)挖掘檢測法：數(shù)據(jù)挖掘的目的是要從海量的數(shù)據(jù)中提取出有用的數(shù)據(jù)信息。網(wǎng)絡(luò)中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發(fā)現(xiàn)記錄中的異?，F(xiàn)象是遠(yuǎn)遠(yuǎn)不夠的，所以將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中，可以從審計數(shù)據(jù)中提取有用的知識，然后用這些知識區(qū)檢測異常入侵和已知的入侵。采用的方法有KDD算法，其優(yōu)點是善于處理大量數(shù)據(jù)的能力與數(shù)據(jù)關(guān)聯(lián)分析的能力，但是實時性較差。

基于應(yīng)用模式的異常檢測法：該方法是根據(jù)服務(wù)請求類型、服務(wù)請求長度、服務(wù)請求包大小分布計算網(wǎng)絡(luò)服務(wù)的異常值。通過實時計算的異常值和所訓(xùn)練的閾值比較，從而發(fā)現(xiàn)異常行為。

基于文本分類的異常檢測法：該方法是將系統(tǒng)產(chǎn)生的進(jìn)程調(diào)用集合轉(zhuǎn)換為“文檔”。利用K鄰聚類文本分類算法，計算文檔的相似性。 誤用入侵檢測系統(tǒng)中常用的檢測方法有： 模式匹配法：是常常被用于入侵檢測技術(shù)中。它是通過把收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫中的已知信息進(jìn)行比較，從而對違背安全策略的行為進(jìn)行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負(fù)擔(dān)，有較高的檢測率和準(zhǔn)確率。 專家系統(tǒng)法：這個方法的思想是把安全專家的知識表示成規(guī)則知識庫，再用推理算法檢測入侵。主要是針對有特征的入侵行為。 基于狀態(tài)轉(zhuǎn)移分析的檢測法：該方法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定的關(guān)聯(lián)的過程。在網(wǎng)絡(luò)中發(fā)生入侵時及時阻斷入侵行為，防止可能還會進(jìn)一步發(fā)生的類似攻擊行為。在狀態(tài)轉(zhuǎn)移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個初始狀態(tài)變?yōu)樽罱K某個被危害的狀態(tài)。

3.網(wǎng)絡(luò)安全入侵檢測系統(tǒng)常用的檢測方法有哪些呢

1、操作模型，該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，舉例來說，考試，大提示在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊； 2、方差，計算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常； 3、多元模型，操作模型的擴(kuò)展，通過同時分析多個參數(shù)實現(xiàn)檢測； 4、馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當(dāng)一個事件發(fā)生時，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件； 5、時間序列分析，將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。

統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

專家系統(tǒng) 用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征入侵行為。 所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。

專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。

在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。 運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

文件完整性檢查 文件完整性檢查系統(tǒng)檢查計算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

文件的數(shù)字文摘通過Hash函數(shù)計算得到。不管文件長度如何，它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字。

與加密算法不同，Hash算法是一個不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD 5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。

從而，當(dāng)文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。

文件完整性檢查系統(tǒng)的優(yōu)點 從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無論是時間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強(qiáng)勁的檢測文件被修改的工具。

實際上，文件完整性檢查系統(tǒng)是一個檢測系統(tǒng)被非法使用的最重要的工具之一。 文件完整性檢查系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測系統(tǒng)中所有文件或某些重要文件。

當(dāng)一個入侵者攻擊系統(tǒng)時，他會干兩件事，首先，他要掩蓋他的蹤跡，即他要通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏他的活動；其它，他要作一些改動保證下次能夠繼續(xù)入侵。 這兩種活動都能夠被文件完整性檢查系統(tǒng)檢測出。

文件完整性檢查系統(tǒng)的弱點 文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)庫。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。

當(dāng)一個入侵者取得管理員權(quán)限后，在完成破壞活動后，可以運行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫，從而瞞過系統(tǒng)管理員。 當(dāng)然，可以將文摘數(shù)據(jù)庫放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。

做一次完整的文件完整性檢查是一個非常耗時的工作，在Tripwire中，在需要時可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。 系統(tǒng)有些正常的更新操作可能會帶來大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作，如，在Windows NT系統(tǒng)中升級MS-Outlook將會帶來1800多個文件變化。

4.入侵檢測系統(tǒng)異常檢測方法有什么

入侵檢測技術(shù)基礎(chǔ) 1. IDS（入侵檢測系統(tǒng)）存在與發(fā)展的必然性 （1）網(wǎng)絡(luò)安全本身的復(fù)雜性，被動式的防御方式顯得力不從心。

（2）有關(guān)供觸垛吠艸杜訛森番緝防火墻：網(wǎng)絡(luò)邊界的設(shè)備；自身可以被攻破；對某些攻擊保護(hù)很弱；并非所有威脅均來自防火墻外部。（3）入侵很容易：入侵教程隨處可見；各種工具唾手可得 2. 入侵檢測（Intrusion Detection） ●定義：通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

入侵檢測的分類（1）按照分析方法/檢測原理分類 ●異常檢測（Anomaly Detection）：基于統(tǒng)計分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。

前提：入侵是異?；顒拥淖蛹?。指標(biāo)：漏報率低，誤報率高。

用戶輪廓（Profile）：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源 ●誤用檢測（Misuse Detection）：基于模式匹配原理。

收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特征。

指標(biāo)：誤報低、漏報高。攻擊特征庫：當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。

特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。

5.入侵檢測系統(tǒng)可以分為哪幾類

入侵檢測系統(tǒng)（Intrusion-detection system，下稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。 IDS最早出現(xiàn)在1980年4月。

該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術(shù)報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發(fā)展成為入侵檢測專家系統(tǒng)（IDES）。

1990年，IDS分化為基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。后又出現(xiàn)分布式IDS。

目前，IDS發(fā)展迅速，已有人宣稱IDS可以完全取代防火墻。 我們做一個形象的比喻：假如防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。

一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。 IDS入侵檢測系統(tǒng)以信息來源的不同和檢測方法的差異分為幾類。

根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。

在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護(hù)資源 這些位置通常是： ·服務(wù)器區(qū)域的交換機(jī)上 ·Internet接入路由器之后的第一臺交換機(jī)上 ·重點保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上 由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。

Venustech（啟明星辰）、Internet Security System(ISS)、思科、賽門鐵克等公司都推出了自己的產(chǎn)品。 [編輯本段]系統(tǒng)組成 IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Event generators）；事件分析器（Event analyzers）；響應(yīng)單元（Response units ）；事件數(shù)據(jù)庫（Event databases ）。

事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

系統(tǒng)分類 根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。 系統(tǒng)通信協(xié)議 IDS系統(tǒng)內(nèi)部各組件之間需要通信，不同廠商的IDS系統(tǒng)之間也需要通信。

因此，有必要定義統(tǒng)一的協(xié)議。目前，IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負(fù)責(zé)定義這種通信格式，稱作Intrusion Detection Exchange Format(IDEF)，但還沒有統(tǒng)一的標(biāo)準(zhǔn)。

以下是設(shè)計通信協(xié)議時應(yīng)考慮的問題： 1.系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔?，因此必須要保持?jǐn)?shù)據(jù)的真實性和完整性。必須有一定的機(jī)制進(jìn)行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。

2.通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。 入侵檢測技術(shù) 對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。

從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況（anomaly-based）。 對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。

檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。

而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。

兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；诋惓５臋z測技術(shù)的核心是維護(hù)一個知識庫。

對于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。

6.黑客入侵檢測方法有哪些

1）特征檢測特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。

當(dāng)被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。

其檢測方法上與計算機(jī)病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報檢測的準(zhǔn)確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。 2）統(tǒng)計檢測 統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。

3）專家系統(tǒng) 用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。

專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。4）文件完整性檢查 文件完整性檢查系統(tǒng)檢查計算機(jī)中自上次檢查后文件變化情況。

文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。

7.入侵檢測技術(shù)的方法

方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)。

入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：

1.監(jiān)視、分析用戶及系統(tǒng)活動；

2.系統(tǒng)構(gòu)造和弱點的審計；

3.識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；

4.異常行為模式的統(tǒng)計分析；

5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6.操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。