1DS基本结构 简单地说,入侵检测系统包括三个功能部 件 a(1)信息收集 (2)信息分析 (3)结果处理一 原始信息 信息收集 信 息分析信息 息 事件 响应 分 结果处理 析
IDS基本结构 简单地说,入侵检测系统包括三个功能部 件: ◼ (1)信息收集 ◼ (2)信息分析 ◼ (3)结果处理 信 息 收 集 信 息 分 析 结 果 处 理 原始信息 分析信息 事件 响应
入侵检测的设计原理 甬用模型 来源于网络或者 用户方便管理, 产生警报提醒管 主机的数据 可以用浏览器 理员,或者通知 防火墙 险测器 响应系统 控制台 分析系统 存储系统 采用异常检测或 者误用检测 利用数据库实现, 如 MySQL
检测器 响应系统 分析系统 存储系统 控制台 入侵检测的设计原理 ---------通用模型 采用异常检测或 者误用检测 来源于网络或者 主机的数据 利用数据库实现, 如MySQL 产生警报提醒管 理员,或者通知 防火墙 用户方便管理, 可以用浏览器
信息收集 入侵检测的第一步是信息收集,收集内容 包括系统、网络、数据及用户活动的状态 和行为 需要在计算机网络系统中的若干不同关键 点(不同网段和不同主机)收集信息 尽可扩大检测范围 从一个源来的信息有可能看不出疑点
信息收集 入侵检测的第一步是信息收集,收集内容 包括系统、网络、数据及用户活动的状态 和行为。 需要在计算机网络系统中的若干不同关键 点(不同网段和不同主机)收集信息, ◼ – 尽可能扩大检测范围 ◼ – 从一个源来的信息有可能看不出疑点
信息收集 入侵检测很大程度上依赖于收集信息的可靠性和 正确性。 要保证用来检测网络系统的软件的完整性。特别 是入侵检测系统软件本身应具有相当强的坚固性, 防止被篡改而收集到错误的信息。 在一个环境中,审计信息必须与它要保护的系统 分开来存储和处理。因为 防止入侵者通过删除审计记录来使入侵检测系统失效 防止入侵者通过修改入侵检测器的结果来隐藏入侵的 存在 要减轻操作系统执行入侵检测任务带来的操作负载
信息收集 入侵检测很大程度上依赖于收集信息的可靠性和 正确性。 要保证用来检测网络系统的软件的完整性。特别 是入侵检测系统软件本身应具有相当强的坚固性, 防止被篡改而收集到错误的信息。 在一个环境中,审计信息必须与它要保护的系统 分开来存储和处理。因为 ◼ 防止入侵者通过删除审计记录来使入侵检测系统失效 ◼ 防止入侵者通过修改入侵检测器的结果来隐藏入侵的 存在 ◼ 要减轻操作系统执行入侵检测任务带来的操作负载
信息收集的来源 进行入侵检测的系统叫做主机,被检测的系统或 网络叫做目标机。数据来源可分为四类 来自主机的 -基于主机的监测收集通常在操作系统层的来自计算机 内部的数据,包括攥作系统审计跟踪信息和系统白志 来自网络的 检测收集网络的数据 来自应用程序的 增收集自溶行的应胃胃喜的数括括应用程 来自目标机的 检测对系统对象的修改
信息收集的来源 进行入侵检测的系统叫做主机,被检测的系统或 网络叫做目标机。数据来源可分为四类: 来自主机的 ◼ – 基于主机的监测收集通常在操作系统层的来自计算机 内部的数据,包括操作系统审计跟踪信息和系统日志 • 来自网络的 ◼ – 检测收集网络的数据 来自应用程序的 ◼ – 监测收集来自运行着的应用程序的数据,包括应用程 序事件日志和其它存储在应用程序内部的数据 来自目标机的 ◼ 检测对系统对象的修改