入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵检测分析技术主要分为两类:异常检测和误用检测。

入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵检测分析技术主要分为两类:异常检测和误用检测。
 
(1)基于异常的入侵检测方法

检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮)，建立系统正常行为轨迹，当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型，因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。



可以看出，按照这种方法建立的系统需要具有一定的人工智能，由于人工智能領域本身的发展缓慢，基于异常的入侵检测方法建立的入侵检测系统的工作进展也不是很好。异常检测技术漏报率任，但报率高，因为并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。

(2)基于误用的入侵检测技术

检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。基于误用的入侵检测技术通过某种方式预先定义入侵行为，收集非正常操作(也就是入侵行为的特征)建立相关的特征库，然后监视系统的运行，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。基于误用的入侵检测技术也叫作基于特征的入侵检测技术。
 
这种检测技术误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

入侵检测的过程

入侵检测系统的检测过程包括三个步骤:信息收集、信息分析和结果处理。

(1)信息收集模块收集系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。(2)信息分析模块的作用在于对数据进行深入的分析，发现攻击并根据分析的结果产生事件，传递给结果处理模块。

(3)结果处理微信小程序模块的作用在于告警与反应，也就是发现攻击企图或者攻击之后，需要系统及时地进行反应，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。