1. 入侵检测系统
入侵检测系统( Intrusion DetectionSysytem,IDS).是用于发现并报告系统中未授权或违反安全策略行为的设备。人侵检测系统主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;对操作系统进行日志管理,并识别违反安全策略的用户活动;针对已发现的攻击行为作出适当的反应,如告警、中止进程等。人侵检测系统通过监听的方式获得网络的运行状态数据,判断其中是否含有攻击的企图,并通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。
1)入侵检测系统
入侵检测系统根据部署方式及数据来源,可以分为基于网络的入侵检测和基于主机的入侵检测。
基于网络的入侵检测系统使用网络数据包作为数据源。实时监视并分析通过网络的所有数据,从中获取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。基于网络的入侵检测系统的优点包括;具有平台无关性、不影响主机的性能、对攻击来说蹙透明的、能够在较大的网络范围内进行安全检测、可检测基于协议的攻击行为。 其主要缺点包括;无法应对加密数据流量、不能检测主机内部发生的入侵行为、对于交换网络支持不足、处理负荷较重等。
基于主机的入侵检测系统通过监测主机的审记记录、系统日志、应用日志以及其它辅助数据,来查找和发现攻击行为的痕迹。基于主机的入侵检测系统可以部署在各种计算机主机上。基于主机的入侵检测主要优点包括;能监测所有的系统行为、不需要额外的硬件支持、 禽旨适合加密环境、与网络无关等。其主要缺点包括:与平台有关、可移植性差、影响目标主机的性能、无法检测基于网络的入侵行为。