什么是入侵检测,以及入侵检测的系统结构组成
入侵检测是防火墙的合理补充。 入侵检测的系统结构组成:
1、事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2、事件分析器:它经过分析得到数据,并产生分析结果。
3、响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
4、事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的第一步是
第一步是进行信息收集,收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等,与渗透测试的信息收集还有所不同。
数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等;
数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、噪声,并且进行数据标准化及格式化处理);
数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵行为;
响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留入侵证据以作他日调查所用,同时向管理员报警。
入侵检测系统可以分为哪几类
按入侵检测形态
硬件入侵检测 软件入侵检测
按目标系统的类型
网络入侵检测 主机入侵检测
混合型
按检测方法
异常入侵检测 误用入侵检测
按系统结构
集中式 分布式
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
文章版权声明:除非注明,否则均为03u百科知识网-你身边的百科知识大全原创文章,转载或复制请以超链接形式并注明出处。