模式匹配器 策略规则 审计数据源 警告/报告 产生器 轮廓特征引擎 异常检测器 图4.4DDES结构框架
审 计 数 据 源 模式匹配器 轮廓特征引擎 异常检测器 策略规则 警告/报告 产 生 器 图4.4 IDES结构框架
2.DIDS模型 1988年,莫里斯蠕虫的爆发,引起了军界、学者和企业界对网络安 全的高度重视。美国空军、国家安全局和能源部共同资助空军密码 支持中心、劳抡斯利弗摩尔国家实验室、加州大学分校、 Haystack 实验室开展对分布式入侵检测系统(DIDS)的研究。DIS将基于主 机和基于网络的检测方法集成到一起,形成如图4.5所示的模型 DIDS检测模型采用了分层结构,包括了数据、时间、主体、上下文、威胁、 安全状态等6层,成为分布式入侵检测系统发展史上的一个里程碑
2. DIDS模型 1988年,莫里斯蠕虫的爆发,引起了军界、学者和企业界对网络安 全的高度重视。美国空军、国家安全局和能源部共同资助空军密码 支持中心、劳抡斯利弗摩尔国家实验室、加州大学分校、Haystack 实验室开展对分布式入侵检测系统(DIDS)的研究。DIDS将基于主 机和基于网络的检测方法集成到一起,形成如图4.5所示的模型。 DIDS检测模型采用了分层结构,包括了数据、时间、主体、上下文、威胁、 安全状态等6层,成为分布式入侵检测系统发展史上的一个里程碑
DIDS控制器 主机代理 LAN代理 主机事件发生器 AN事件发生器 主机监视器 LAN监视器 图4.5DDS结构框架
DIDS控制器 主 机 代 理 主 机 监 视 器 主机事件发生器 LAN 代 理 LAN监 视 器 LAN事件发生器 图4.5 DIDS结构框架
4.14入侵检测系统的优点及其局限 1.优点 采用入侵检测系统和漏洞评估工具带来的好处有如下一些: 提高了信息系统安全体系其他部分的完整性; 提高了系统的监察能力; 可以跟踪用户从进入到退出的所有活动或影响; 能够识别并报告数据文件的改动 可以发现系统配置的错误,并能在必要时予以改正; 可以识别特定类型的攻击,并进行报警,作出防御响应; 可以使管理人员最新的版本升级添加到程序中; 允许非专业人员从事系统安全工作; 可以为信息系统安全提供指导
4.1.4 入侵检测系统的优点及其局限 1. 优点 采用入侵检测系统和漏洞评估工具带来的好处有如下一些: · 提高了信息系统安全体系其他部分的完整性; · 提高了系统的监察能力; · 可以跟踪用户从进入到退出的所有活动或影响; · 能够识别并报告数据文件的改动; · 可以发现系统配置的错误,并能在必要时予以改正; · 可以识别特定类型的攻击,并进行报警,作出防御响应; · 可以使管理人员最新的版本升级添加到程序中; · 允许非专业人员从事系统安全工作; · 可以为信息系统安全提供指导
2.局限 但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存 在如下局限: 在无人干预的情形下,无法执行对攻击的检测; 无法感知组织(公司)安全策略的内容; 不能弥补网络协议的漏洞; 不能弥补系统提供信息的质量或完整性问题; 不能分析网络繁忙时的所有事物; 不能总是对数据包级的攻击进行处理;
2. 局限 但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存 在如下局限: · 在无人干预的情形下,无法执行对攻击的检测; · 无法感知组织(公司)安全策略的内容; · 不能弥补网络协议的漏洞; · 不能弥补系统提供信息的质量或完整性问题; · 不能分析网络繁忙时的所有事物; · 不能总是对数据包级的攻击进行处理; · ……