第8章入侵检测技术方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.6 案例 8.6.1 Snort的安装与使用
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
响应处理
知识库
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.3 入侵检测系统的标准
8.3.1 IETF/IDWG
为了提高IDS产品、组件及与其他安全产品之间的互操作性,美国国防高级研 究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG) 发起制订了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范 IDS的标准。 1.IDMEF
识别入侵者 识别入侵行为 检测和监视己成功的安全突破 为对抗入侵及时提供重要信息,阻止事件的发生和事态 的扩大。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.1 入侵检测原理
通过监视受保护系统的状态和活动,采用误用 检测或异常检测的方式,发现非授权或恶意的 系统及网络行为,为防范入侵行为提供有效的 手段。
结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配 置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告 警。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.2 误用检测
误用检测也被称为基于知识的检测,它指运用己知的攻击方法,根据己定义 好的入侵模式,通过判断这些入侵模式是否出现来检测。
入侵分析
数据存储
数据提取
原始数据流
图8-2 系统构成
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
1.IDS在结构上可划分为数据收集和数据分析两部分。 (1)数据收集机制 分布式与集中式数据收集机制。 直接监控和间接监控。 基于主机的数据收集和基于网络的数据收集。 外部探测器和内部探测器 (2)数据分析机制 根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。 分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。 集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。 (3)缩短数据收集与数据分析的距离 在实际操作过程中,数据收集和数据分析通常被划分成两个步骤,在不同的时
间甚至是不同的地点进行。但这一分离存在着缺点,在实际使用过程中,数据收集 与数据分析功能之间应尽量缩短距离。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
根据入侵检测采用的技术,可以分为异常检测和误用检测。根据入侵检测监 测的对象和所处的位置,分为基于网络和基于主机两种。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.3 异常检测
异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或 资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用型较强。 异常检测方法主要有以下两种。
1.统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先, 检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特 征与己存储定型的以前特征,从而判断是否是异常行为。用户特征表需要根据审 计记录情况不断地加以更新。 2.神经网络 神经网络方法是利用一个包含很多计算单兀的网络来完成复杂的映射函数, 这些单元通过使用加权的连接相互作用。一个神经网络只是根据单元和它们间的 权值连接编码成网络结构,实际的学习过程是通过改变权值和加入或移去连接进 行的。神经网络处理分为两个阶段:首先,通过正常系统行为对该网络进行训练, 调整其结构和权值:然后将所观测到的韦件流输入网络,由此判别这些事件流是 正常(与训练数据匹配的)还是异常。同时,系统也能利用这些观测到的数据进行训 练,从而使网络可以学习系统行为的一些变化。
清华大学出版社出版
第8章 入侵检测技术
8.1 入侵检测概述 8.1.1 入侵检测原理 8.1.2 入侵检测系统结构 8.1.3 入侵检测系统分类
8.2 入侵检测技术 8.2.1 入侵检测分析模型 8.2.2 误用检测 8.2.3 异常检测 8.2.4 其他检测技术
8.3 入侵检测系统的标准 8.3.1 IETF/IDWG 8.3.2 CIDF
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了使用此模型 的基本原理。该数据模型用XML实现,并设计了一个XML文档类型定义。 2.IDXP
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
(1)集中式体系结构 该结构的特点是代理负责收集来自不同目标主机的日志,将日志进行预处理并
转化为标准格式,山命令控制台对这些日志集中处理。 该系统有如下优点:
能够将来自不同口标主机的审计信息进行集中处理,这种方式对目标机的性能影 响很小或没有影响,这可以允许进行更复杂的检测。 可以创建日志,作为原始数据的数据档案,这些数据可用于起诉中。 可用于多主机标志检测。 可将存储在数据库中的告警信息和原始数据结合起来分析,这能帮助许多入侵检 测,还可以进行数据辨析以查看长期趋势。
曾湘黔主编: 网络安全技术
第8章 入侵检测技术
Internet自身的开放性的特点,使得网络安全防 护的方式发生了很大变化,传统的网络强调统一而 集中的安全管理和控制,可采取加密、认证、访问 控制、审计以及日志等多种技术手段,它们的实施. 是由通信双方共同完成:因为Internet网络结构错综 复杂,因此安全防护方式截然不同。Internet的安全 技术涉及传统的网络安全技术和分布式网络安全技 术,主要是解决如何利用Internet进行安全通信,同 时保护内部网络免受外部攻击。于是在此情况下, 出现了防火墙和入侵检测技术。
8.4入侵检测系统部署 8.4.1 入侵检测系统部署的原则 8.4.2 入侵检测系统部署实例 8.4.3 入侵检测特征库的建立与应用
曾湘黔主编: 网络安全技术
第8章 入侵检测技术
8.5 典型入侵检测产品简介 8.5.1 入侵检测工具Snort 8.5.2 Cisco公司的NetRanger 8.5.3 Network Associates公司的CyberCop 8.5.4 Internet Security System公司的RealSecure 8.5.5 中科网威的“天眼”入侵检测系统
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
2.基于主机的入侵检测系统 基于主机的入侵检测是将检测系统安装在被重点检测的主机之上,主要是对 该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活 动可疑(特征或行为违反统计规律),入侵检测系统就会采取相应措施。其特点主要 是对分析“可能的攻击行为”非常有用,不仅能够指出入侵者试图执行哪种“危 险的命令”,还能分辨出入侵者运行了什么命令,进行了哪些操作、执行了哪些 系统调用等。主机入侵检测系统与网络入侵检测系统相比,能够提供更为详尽的 用户操作调用信息。 基于主机的入侵检测系统有集中式和分布式两种体系结构,这两种结构都是 基于代理的检测结构。代理是在目标系统上可执行的小程序,它们与命令控制平 台进行通信。如果正确地操作,这些代理不会明显地降低口标系统的性能,但它 们会带来部署和支持方面的问题。
基于模式匹配的误用入侵检测模式匹配就是将捕获到的数据与己知网络入侵 和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
基于专家系统的误用入侵检测 基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成规则形成 专家知识库,然后运用推理算法检测入侵。用专家系统对入侵进行检测,经常是 针对有特征的入侵行为。所谓的规则,即是知识,专家系统的建立依赖于知识库 的完备性,知识库的完备性又取决于审计记录的完备性与实时性。 在具体实现中,专家系统主要面临以下问题:据量过大,而且在大型系统上,如何实时连续地审计数据也是 一个问题。
1.基于网络的入侵检测系统 基于网络的入侵检测系统以网络数据包作为分析数据源,在被监视网络的网 络数据流中寻找攻击特征和异常特征。它通常利用一个土作在混杂模式卜的网卡 来实时监视并分析通过网络的数据流,使用模式匹配、统计分析等技术来识别攻 击行为。一旦检测到了攻击行为,其响应模块就做出适当的响应,如报警、切断 网络连接等。 NIDS优点是能检测许多基于主机的系统检测小到的攻击,而更可靠:具有更 好的实时特性,对受保护的主机和网络系统的性能影响很小或几乎没有影响并且 无需对原来的系统和结构进行改动;网络监听引擎是透明的,可以降低检测系统 本身遭受攻击的可能性。其局限性是:无法检测物理的侵入被监视主机系统的活 动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过 主机状态的异常变化才能反映出来的攻击;在协议解析和模式匹配等方而的计算 成本很高,不能检查加密的数据包,严重依赖于高层协议(如应用层)的解析能力, 不知道接收节点对数据包的处理过程以及由此引起的状态变化。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.4 其他检测技术
1.基于规则的入侵检测 基于规则的入侵检测是通过观察系统里发生的事件并将该事 件与系统的规则集进行匹配,来判断该事件是否与某条规则 所代表的入侵行为相对应。基于规则的入侵检测分为:基于 规则的异常检测和基于规则的渗透检测。
2.分布式入侵检测 分布式入侵检测系统设计应包含:主机代理模块、局域网监 测代理模块和中央管理器模块三个模块。
同时集中式系统也存在有以下的缺点: 除非口标机的数量较少或者检测引擎很快,否则会对实时检测或实时响 应 带来影响。
将大量原始数据集中起来会影响网络通信量
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
(2)分布式体系结构 该结构的特点是将不同的代理安装在不同的
目标机上,实时地分析数据,但记录本身在被目 标机上的检测引擎分析提出有用信息之后就被丢 弃了。该结构的优点是实时告警、实时响应。缺 点是降低了口标机的性能,没有原始数据档案, 降低了数据辨析能力。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化 工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。 CIDF模型模型结构如图8-1所示。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
响应处理
知识库
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.3 入侵检测系统的标准
8.3.1 IETF/IDWG
为了提高IDS产品、组件及与其他安全产品之间的互操作性,美国国防高级研 究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG) 发起制订了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范 IDS的标准。 1.IDMEF
识别入侵者 识别入侵行为 检测和监视己成功的安全突破 为对抗入侵及时提供重要信息,阻止事件的发生和事态 的扩大。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.1 入侵检测原理
通过监视受保护系统的状态和活动,采用误用 检测或异常检测的方式,发现非授权或恶意的 系统及网络行为,为防范入侵行为提供有效的 手段。
结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配 置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告 警。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.2 误用检测
误用检测也被称为基于知识的检测,它指运用己知的攻击方法,根据己定义 好的入侵模式,通过判断这些入侵模式是否出现来检测。
入侵分析
数据存储
数据提取
原始数据流
图8-2 系统构成
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
1.IDS在结构上可划分为数据收集和数据分析两部分。 (1)数据收集机制 分布式与集中式数据收集机制。 直接监控和间接监控。 基于主机的数据收集和基于网络的数据收集。 外部探测器和内部探测器 (2)数据分析机制 根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。 分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。 集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。 (3)缩短数据收集与数据分析的距离 在实际操作过程中,数据收集和数据分析通常被划分成两个步骤,在不同的时
间甚至是不同的地点进行。但这一分离存在着缺点,在实际使用过程中,数据收集 与数据分析功能之间应尽量缩短距离。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
根据入侵检测采用的技术,可以分为异常检测和误用检测。根据入侵检测监 测的对象和所处的位置,分为基于网络和基于主机两种。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.3 异常检测
异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或 资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用型较强。 异常检测方法主要有以下两种。
1.统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先, 检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特 征与己存储定型的以前特征,从而判断是否是异常行为。用户特征表需要根据审 计记录情况不断地加以更新。 2.神经网络 神经网络方法是利用一个包含很多计算单兀的网络来完成复杂的映射函数, 这些单元通过使用加权的连接相互作用。一个神经网络只是根据单元和它们间的 权值连接编码成网络结构,实际的学习过程是通过改变权值和加入或移去连接进 行的。神经网络处理分为两个阶段:首先,通过正常系统行为对该网络进行训练, 调整其结构和权值:然后将所观测到的韦件流输入网络,由此判别这些事件流是 正常(与训练数据匹配的)还是异常。同时,系统也能利用这些观测到的数据进行训 练,从而使网络可以学习系统行为的一些变化。
清华大学出版社出版
第8章 入侵检测技术
8.1 入侵检测概述 8.1.1 入侵检测原理 8.1.2 入侵检测系统结构 8.1.3 入侵检测系统分类
8.2 入侵检测技术 8.2.1 入侵检测分析模型 8.2.2 误用检测 8.2.3 异常检测 8.2.4 其他检测技术
8.3 入侵检测系统的标准 8.3.1 IETF/IDWG 8.3.2 CIDF
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了使用此模型 的基本原理。该数据模型用XML实现,并设计了一个XML文档类型定义。 2.IDXP
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
(1)集中式体系结构 该结构的特点是代理负责收集来自不同目标主机的日志,将日志进行预处理并
转化为标准格式,山命令控制台对这些日志集中处理。 该系统有如下优点:
能够将来自不同口标主机的审计信息进行集中处理,这种方式对目标机的性能影 响很小或没有影响,这可以允许进行更复杂的检测。 可以创建日志,作为原始数据的数据档案,这些数据可用于起诉中。 可用于多主机标志检测。 可将存储在数据库中的告警信息和原始数据结合起来分析,这能帮助许多入侵检 测,还可以进行数据辨析以查看长期趋势。
曾湘黔主编: 网络安全技术
第8章 入侵检测技术
Internet自身的开放性的特点,使得网络安全防 护的方式发生了很大变化,传统的网络强调统一而 集中的安全管理和控制,可采取加密、认证、访问 控制、审计以及日志等多种技术手段,它们的实施. 是由通信双方共同完成:因为Internet网络结构错综 复杂,因此安全防护方式截然不同。Internet的安全 技术涉及传统的网络安全技术和分布式网络安全技 术,主要是解决如何利用Internet进行安全通信,同 时保护内部网络免受外部攻击。于是在此情况下, 出现了防火墙和入侵检测技术。
8.4入侵检测系统部署 8.4.1 入侵检测系统部署的原则 8.4.2 入侵检测系统部署实例 8.4.3 入侵检测特征库的建立与应用
曾湘黔主编: 网络安全技术
第8章 入侵检测技术
8.5 典型入侵检测产品简介 8.5.1 入侵检测工具Snort 8.5.2 Cisco公司的NetRanger 8.5.3 Network Associates公司的CyberCop 8.5.4 Internet Security System公司的RealSecure 8.5.5 中科网威的“天眼”入侵检测系统
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
2.基于主机的入侵检测系统 基于主机的入侵检测是将检测系统安装在被重点检测的主机之上,主要是对 该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活 动可疑(特征或行为违反统计规律),入侵检测系统就会采取相应措施。其特点主要 是对分析“可能的攻击行为”非常有用,不仅能够指出入侵者试图执行哪种“危 险的命令”,还能分辨出入侵者运行了什么命令,进行了哪些操作、执行了哪些 系统调用等。主机入侵检测系统与网络入侵检测系统相比,能够提供更为详尽的 用户操作调用信息。 基于主机的入侵检测系统有集中式和分布式两种体系结构,这两种结构都是 基于代理的检测结构。代理是在目标系统上可执行的小程序,它们与命令控制平 台进行通信。如果正确地操作,这些代理不会明显地降低口标系统的性能,但它 们会带来部署和支持方面的问题。
基于模式匹配的误用入侵检测模式匹配就是将捕获到的数据与己知网络入侵 和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
基于专家系统的误用入侵检测 基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成规则形成 专家知识库,然后运用推理算法检测入侵。用专家系统对入侵进行检测,经常是 针对有特征的入侵行为。所谓的规则,即是知识,专家系统的建立依赖于知识库 的完备性,知识库的完备性又取决于审计记录的完备性与实时性。 在具体实现中,专家系统主要面临以下问题:据量过大,而且在大型系统上,如何实时连续地审计数据也是 一个问题。
1.基于网络的入侵检测系统 基于网络的入侵检测系统以网络数据包作为分析数据源,在被监视网络的网 络数据流中寻找攻击特征和异常特征。它通常利用一个土作在混杂模式卜的网卡 来实时监视并分析通过网络的数据流,使用模式匹配、统计分析等技术来识别攻 击行为。一旦检测到了攻击行为,其响应模块就做出适当的响应,如报警、切断 网络连接等。 NIDS优点是能检测许多基于主机的系统检测小到的攻击,而更可靠:具有更 好的实时特性,对受保护的主机和网络系统的性能影响很小或几乎没有影响并且 无需对原来的系统和结构进行改动;网络监听引擎是透明的,可以降低检测系统 本身遭受攻击的可能性。其局限性是:无法检测物理的侵入被监视主机系统的活 动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过 主机状态的异常变化才能反映出来的攻击;在协议解析和模式匹配等方而的计算 成本很高,不能检查加密的数据包,严重依赖于高层协议(如应用层)的解析能力, 不知道接收节点对数据包的处理过程以及由此引起的状态变化。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2.4 其他检测技术
1.基于规则的入侵检测 基于规则的入侵检测是通过观察系统里发生的事件并将该事 件与系统的规则集进行匹配,来判断该事件是否与某条规则 所代表的入侵行为相对应。基于规则的入侵检测分为:基于 规则的异常检测和基于规则的渗透检测。
2.分布式入侵检测 分布式入侵检测系统设计应包含:主机代理模块、局域网监 测代理模块和中央管理器模块三个模块。
同时集中式系统也存在有以下的缺点: 除非口标机的数量较少或者检测引擎很快,否则会对实时检测或实时响 应 带来影响。
将大量原始数据集中起来会影响网络通信量
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
(2)分布式体系结构 该结构的特点是将不同的代理安装在不同的
目标机上,实时地分析数据,但记录本身在被目 标机上的检测引擎分析提出有用信息之后就被丢 弃了。该结构的优点是实时告警、实时响应。缺 点是降低了口标机的性能,没有原始数据档案, 降低了数据辨析能力。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化 工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。 CIDF模型模型结构如图8-1所示。