用户历史行为 用户当前行为 入侵检测 检 入侵 断开记录 恢复 有三种主要部件: (1)事件产生器: Event generator (2)活动记录器: Activity Profile (3)规则集: Rule set 3.IDS分类 (1)基于主机IDS和基于网络IDS(最常用) (2)按功能分类 ①扫描器:事前的IDs,对系统威胁进行定期评估 原理:通过比较已知的弱点数据库数据与系统配置的 数据,探测系统或网络中的缺陷 ②系统IDS:针对一个系统的信息资源来检测攻击 原理:主要检查系统日志,不考虑数据包 不足:收集数据困难,各个节点的协调,系统开销大 ③网络IDS:视网络传输中和系统事件来对付攻击
有三种主要部件: (1) 事件产生器:Event Generator (2) 活动记录器:Activity Profile (3) 规则集:Rule Set 3. IDS 分类 (1) 基于主机 IDS 和基于网络 IDS(最常用) (2) 按功能分类 ① 扫描器:事前的 IDS,对系统威胁进行定期评估 原理:通过比较已知的弱点数据库数据与系统配置的 数据,探测系统或网络中的缺陷 ② 系统 IDS:针对一个系统的信息资源来检测攻击 原理:主要检查系统日志,不考虑数据包 不足:收集数据困难,各个节点的协调,系统开销大 ③ 网络 IDS:视网络传输中和系统事件来对付攻击 用户历史行为 用户当前行为 入侵检测 断开 记录 恢复 检测 入侵 Y N
原理: 不足:只能监视本网段的活动,精确度较低 (3)按组成方式分类 ①集中式IDS:ID程序集中,各个主机上有一简单的 审计程序 优点: 缺点: ②分层式IDS:网络分层监视检测 优点: 缺点: ③分布式IDS (面向大规模网络的分布式入侵检测与预警系统) 优点: 缺点: (4)按功能分类 误用检测 异常检测 集成检测 4.IDS实现 (Ref3张楚敏等,入侵检测系统,计算机应用研究,2001) (1)误用(滥用)检测(Ref7)
原理: 不足:只能监视本网段的活动,精确度较低 (3) 按组成方式分类 ① 集中式 IDS:ID 程序集中,各个主机上有一简单的 审计程序 优点: 缺点: ② 分层式 IDS:网络分层监视检测 优点: 缺点: ③ 分布式 IDS (面向大规模网络的分布式入侵检测与预警系统) 优点: 缺点: (4)按功能分类 误用检测 异常检测 集成检测 4. IDS 实现 (Ref.3 张楚敏等,入侵检测系统,计算机应用研究,2001) (1) 误用(滥用)检测(Ref.7)