入侵检测系统分类 根据检测对象和工作方式 ■基于主机的入侵检测系统 ■基于网络的入侵检测系统 其他 ■混合入侵检测系统 ■分布式入侵检测系统
11 根据检测对象和工作方式 ■基于主机的入侵检测系统 ■基于网络的入侵检测系统 其他 ■混合入侵检测系统 ■分布式入侵检测系统 入侵检测系统分类
基于主机的入侵检测系统 回直接与操作系统相关,控制文件系统以及重要的系统文件, 确保操作系统不会被随意地删改。 能够及时发现操作系统所受到的侵害,并且由于它保存 定的校验信息和所有系统文件的变更记录,在一定程度上还 可以实现安全恢复机制。 按照检测对象的不同 ■网络连接检测 ■主机文件检测 12
12 基于主机的入侵检测系统 ₪直接与操作系统相关,控制文件系统以及重要的系统文件, 确保操作系统不会被随意地删改。 ₪能够及时发现操作系统所受到的侵害,并且由于它保存一 定的校验信息和所有系统文件的变更记录,在一定程度上还 可以实现安全恢复机制。 ₪按照检测对象的不同 ■网络连接检测 ■主机文件检测
1网络连接检测 网络连接检测是对试图进入该主机的数据流进行检测,分 析确定是否有入侵行为,避免或减少这些数据流进入主机 系统后造成损害 网络连接检测可以有效地检测出是否存在攻击探测行为, 攻击探测几乎是所有攻击行为的前奏。系统管理员可以设 置好访问控制表,其中包括容易受到攻击探测的网络服务, 并且为它们设置好访问权限
13 1.网络连接检测 网络连接检测是对试图进入该主机的数据流进行检测,分 析确定是否有入侵行为,避免或减少这些数据流进入主机 系统后造成损害。 网络连接检测可以有效地检测出是否存在攻击探测行为, 攻击探测几乎是所有攻击行为的前奏。系统管理员可以设 置好访问控制表,其中包括容易受到攻击探测的网络服务, 并且为它们设置好访问权限
2主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹 主机文件检测能够帮助系统管理员发现入侵行为或 入侵企图,及时采取补救措施。 主机文件检测的检测对象主要包括以下几种: (1)系统日志 (2)文件系统 (3)进程记录 14
14 2.主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹, 主机文件检测能够帮助系统管理员发现入侵行为或 入侵企图,及时采取补救措施。 主机文件检测的检测对象主要包括以下几种: (1) 系统日志 (2) 文件系统 (3) 进程记录
例子: Tripwire就是一种基于主机文件的入侵检测 系统,它是目前最为著名的un下文件系统 完整性检查的软件工具。 这一软件采用的技术核心就是对每个要监 控的文件产生一个数字签名,保留下来。当文 件现在的数字签名与保留的数字签名不一致时, 那么现在这个文件必定被改动过了。 15
15 例子: Tripwire就是一种基于主机文件的入侵检测 系统,它是目前最为著名的unix下文件系统 完整性检查的软件工具。 这一软件采用的技术核心就是对每个要监 控的文件产生一个数字签名,保留下来。当文 件现在的数字签名与保留的数字签名不一致时, 那么现在这个文件必定被改动过了