入侵检测的分类 按照数据来源: -基于主机:系统获取数据的依据是系统运 行所在的主机,保护的目标也是系统运行 所在的主机。 ·-基于网络:系统获取的数据是网络传输的 数据包,保护的是网络的运行 混合型
入侵检测的分类 按照数据来源: – 基于主机:系统获取数据的依据是系统运 行所在的主机,保护的目标也是系统运行 所在的主机。 – 基于网络:系统获取的数据是网络传输的 数据包,保护的是网络的运行。 – 混合型:
入侵检测的数据源 基于主机的入侵检测系统 系统分析主机产生的数据(应用程序及操作系 统的事件日志)
入侵检测的数据源 基于主机的入侵检测系统 ◼ 系统分析主机产生的数据(应用程序及操作系 统的事件日志)
主机的数据源 操作系统事件日志 应用程序日志 系统日志 n-关系数据库 -Web服务器
主机的数据源 操作系统事件日志 应用程序日志 ◼ – 系统日志 ◼ – 关系数据库 ◼ – Web服务器
基于主机的检测威胁 ●特权滥用:当用户具有rot权限、管理员特权时, 该用户以非授权方式使用特权 具有提高特权的立约人 前职员使用旧帐户 管理员创建后门帐户 关键数据的访问及修改 一学生改变成绩、职员修改业绩、非授权泄露、修改 WEB站点 安全配置的变化 用户没有激活屏保、 激活 guest帐户
基于主机的检测威胁 特权滥用:当用户具有root权限、管理员特权时, 该用户以非授权方式使用特权。 ◼ – 具有提高特权的立约人 ◼ – 前职员使用旧帐户 ◼ – 管理员创建后门帐户 关键数据的访问及修改 ◼ – 学生改变成绩、职员修改业绩、非授权泄露、修改 WEB站点 安全配置的变化 ◼ – 用户没有激活屏保、 ◼ – 激活guest帐户
基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理 的,代理是运行在目标系统上的可执行程 序,与中央控制计算机(命令控制台)通 信 集中式:原始数据在分析之前要先发送到中 央位置 分布式:原始数据在目标系统上实时分析, 只有告警命令被发送给控制台
基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理 的,代理是运行在目标系统上的可执行程 序,与中央控制计算机(命令控制台)通 信。 ◼ – 集中式:原始数据在分析之前要先发送到中 央位置 ◼ – 分布式:原始数据在目标系统上实时分析, 只有告警命令被发送给控制台