網絡入侵檢測有哪些方法

特征檢測

特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。

統計檢測

統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。

專家系統

用專家系統對入侵進行檢測，經常是針對有特征入侵行為。所謂的規則，即是知識，不同的系統與設置具有不同的規則，且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。

文件完整性檢查

文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發生變化。

文件的數字文摘通過Hash函數計算得到。不管文件長度如何，它的Hash函數計算結果是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。從而，當文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire。

回答所涉及的環境：聯想天逸510S、Windows 10。