3-1-05《信息安全产品配置与应用》课程-入侵检测篇-入侵.
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测的分类方法
根据体系结构进行分类 根据检测原理进行分类 根据实现方式进行分类
根据体系结构进行分类
集中式IDS
引擎和控制中心在一个系统之上,不能远距离操作,只能在现场
进行操作。 优点是结构简单,不会因为通讯而影响网络带宽和泄密。
分布式IDS
引擎和控制中心在两个系统之上,通过网络通讯,可以远距离查
看和操作。目前的大多数IDS系统都是分布式的。
优点不是必需在现场操作,可以用一个控制中心管理多个引擎,
可以统一进行策略编辑和下发,可以统一查看和集中分析上报的 事件,可以通过分开事件显示和查看的功能提高处理速度等等。
ห้องสมุดไป่ตู้
根据体系结构进行分类
分布式IDS:
集权式:这种结构的IDS可能有多个分布在不同主机上的审计程
序,但只有一个中央入侵检测服务器。
等级式:定义了若干个分等级的监控区,每个IDS负责一个区,
每一级IDS只负责所控区的分析,然后将当地的分析结果传送给 上一级。
协作式:将中央检测服务器的任务分配给多个基于主机的IDS,
这些IDS不分等级,各司其职,负责监控当地主机的某些活动。
根据检测原理进行分类
误用检测(Misuse Detection):这种检测方法是收集非正常操作
(入侵)行为的特征,建立相关的特征库;在后续的检测过程中, 将收集到的数据与特征库中的特征代码进行比较,得出是否有入侵 行为。
异常检测(Anomaly Detection ):这种检测方法是首先总结正常操
作应该具有的特征;在得出正常操作的模型之后,对后续的操作进 行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
根据体系结构进行分类 根据检测原理进行分类 根据实现方式进行分类
根据体系结构进行分类
集中式IDS
引擎和控制中心在一个系统之上,不能远距离操作,只能在现场
进行操作。 优点是结构简单,不会因为通讯而影响网络带宽和泄密。
分布式IDS
引擎和控制中心在两个系统之上,通过网络通讯,可以远距离查
看和操作。目前的大多数IDS系统都是分布式的。
优点不是必需在现场操作,可以用一个控制中心管理多个引擎,
可以统一进行策略编辑和下发,可以统一查看和集中分析上报的 事件,可以通过分开事件显示和查看的功能提高处理速度等等。
ห้องสมุดไป่ตู้
根据体系结构进行分类
分布式IDS:
集权式:这种结构的IDS可能有多个分布在不同主机上的审计程
序,但只有一个中央入侵检测服务器。
等级式:定义了若干个分等级的监控区,每个IDS负责一个区,
每一级IDS只负责所控区的分析,然后将当地的分析结果传送给 上一级。
协作式:将中央检测服务器的任务分配给多个基于主机的IDS,
这些IDS不分等级,各司其职,负责监控当地主机的某些活动。
根据检测原理进行分类
误用检测(Misuse Detection):这种检测方法是收集非正常操作
(入侵)行为的特征,建立相关的特征库;在后续的检测过程中, 将收集到的数据与特征库中的特征代码进行比较,得出是否有入侵 行为。
异常检测(Anomaly Detection ):这种检测方法是首先总结正常操
作应该具有的特征;在得出正常操作的模型之后,对后续的操作进 行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。