入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为。
通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
基于网络的入侵检测(NIDS)以所检测网段的所有流量作为其数据源,在以太网环境下,它通过将网卡设置为混杂模式来抓取所监测网段内的混合数据包。一般来说入侵检测系统担负着保护整个网段的任务。在交换环境下,为了抓取所需的数据,NIDS的放置需要精心的设计。NIDS通过对三类特征进行匹配,从而发现可能的入侵检测行为,这三类特征分别是:串特征、端口特征和数据包头特征。串特征是指在数据正文中出现的可能意味着某种攻击的字符串。例如一个数据包的正文中包含字符串“cat”++>/.rhosts”, 那么如果这条命令执行成功, 将导致执行该命令的主机不需身份认证就被使用,这是非常危险的事情。端口特征是指某个连接连向的目的端口,通过查看这个值,也可以发现一些可能的入侵,例如一些木马程序就是通过一些特定的端口拉接收外部的控制信