相关概念 “入侵”( Intrusion)是一个广义的概念,不仅包括发起 攻击的人(包括黑客)取得超出合法权限的行为,也包括 收集漏洞信息,造成拒绝访问( Denial of Service)等对 系统造成危害的行为 入侵检测( Intrusion detection)就是对入侵行为的发觉 它通过对计算机网络等信息系统中若干关键点的有关信息 的收集和分析,从中发现系统中是香存在有违反安全规则 的行为和被攻击的迹象 入侵检测系统( Intrusion Detection System,IDS)就是 进行入侵检测的软件和硬件的组合 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部 攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线
相关概念 “入侵”(Intrusion)是一个广义的概念,不仅包括发起 攻击的人(包括黑客)取得超出合法权限的行为,也包括 收集漏洞信息,造成拒绝访问(Denial of Service)等对 系统造成危害的行为。 入侵检测(Intrusion Detection)就是对入侵行为的发觉。 它通过对计算机网络等信息系统中若干关键点的有关信息 的收集和分析,从中发现系统中是否存在有违反安全规则 的行为和被攻击的迹象。 入侵检测系统(Intrusion Detection System, IDS)就是 进行入侵检测的软件和硬件的组合。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部 攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线
入侵检测系统的主要功能 具体说来,入侵检测系统的主要功能有 监视并分析用户和系统的行为; 审计系统配置和漏洞; 评估敏感系统和数据的完整性; 识别攻击行为、对异常行为进行统计; 自动收集与系统相关的补丁; 审计、识别、跟踪违反安全法规的行为; 使用诱骗服务器记录黑客行为;
入侵检测系统的主要功能 具体说来,入侵检测系统的主要功能有: · 监视并分析用户和系统的行为; · 审计系统配置和漏洞; · 评估敏感系统和数据的完整性; · 识别攻击行为、对异常行为进行统计; · 自动收集与系统相关的补丁; · 审计、识别、跟踪违反安全法规的行为; · 使用诱骗服务器记录黑客行为; · ……
4.1.2实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络的连接过程中进行,通过攻击识别模块对 用户当前的操作进行分析,一旦发现攻击迹象就转入攻击处理 模块,如立即断开攻击者与主机的连接、收集证据或实施数据 恢复等。如图4.1所示,这个检测过程是反复循环进行的
4.1.2 实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络的连接过程中进行,通过攻击识别模块对 用户当前的操作进行分析,一旦发现攻击迹象就转入攻击处理 模块,如立即断开攻击者与主机的连接、收集证据或实施数据 恢复等。如图4.1所示,这个检测过程是反复循环进行的
当前操作 攻击识别模块 入侵检测 监测 是攻击否 攻击处理模块 图4.1实时入侵检测过程
当前操作 攻击识别模块 入侵检测 攻击处理模块 是攻击否 监测 N Y 图4.1 实时入侵检测过程
事后入侵检测 事后入侵检测是根据计算机系统对用户操作所做的历史审计 记录,判断是否发生了攻击行为,如果有,则转入攻击处理 模块处理。事后入侵检测通常由网络管理人员定期或不定期 地进行的。图42为事后入侵检测的过程
事后入侵检测 事后入侵检测是根据计算机系统对用户操作所做的历史审计 记录,判断是否发生了攻击行为,如果有,则转入攻击处理 模块处理。事后入侵检测通常由网络管理人员定期或不定期 地进行的。图4.2为事后入侵检测的过程