Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。网络入侵(hacking)通常是指具有熟练地编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行为。早先对计算机的非授权访问称为破解(cracking),而hacking则指那些熟练运用计算机的高手对计算机技术的运用。而随着时间的推移,媒体宣传导致了hacking变成了入侵的含义。现在hacker则称为诸如LiI111s Torvalds(Linux之父)、Tim Berners-Lee (现代WWW之父〉及偷窃网络信息等犯罪者的同义词。
入侵检测是一项重要的安全监控技术,其目的是识别系统中入侵者的非授权使用及系统合法用户的滥用行为,尽量发现系统因软件错误、认证模块的失效、不适当的系统管理而引起的安全性缺陷并采取相应的补救措施。
图5.2是一个不依赖于某些特殊系统、应用环境、系统缺陷和入侵类型的通用型入侵检测模型。其基本思路为:入侵者的行为和合法用户的异常行为是可以从合法用户的正常行为中区别出来的。为定义用户的正常行为就必须为该用户建立并维护一系列的行为轮廓配置,这些配置描述了用户正常使用系统的行为特征。IDS可以利用这些配置来监控当前用户活动并与以前的用户活动进行比较,当一个用户的当前活动与以往活动的差别超出了轮廓配置各项的门限值时,这个当前活动就被认为是异常的,并且它很可能就是一个入侵行为。