入侵检测的分类

2013年12月27日17:56
来源:网络
(9920)人已经阅读
我要评论0人已参与

        导语:入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测。

  1)基于主机

  一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件。对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限。不能检测网络攻击。

  2)基于网络

  通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简。单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

  3)分布式

  这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
责任编辑:wutian
友情提示:健康安全网所提供文章内容由专业友邻网站及权威专家和专业编辑供稿,作为网民健康安全生活参考文摘,如涉及您的版权权益,请及时联系我们,我们将第一时间做出回应。为更好的服务网民和您的价值体现,欢迎社会各界提供健康安全方面的文稿。
分享到:
网友评论已有0