通信安全 -什么是入侵检测系统

xlming126

什么是入侵检测系统？ 入侵检测系统监视计算机系统，寻找入侵的特征（未授权用户）或错误使用（越权的授权用户）。入侵检测系统可分为如下几类： （1） 基于网络的入侵检测系统 基于网络的入侵检测产品放置在比较重要的网段内，不停的监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，基于网络的入侵检测产品是主流。 （2） 基于主机的入侵检测系统 基于主机的入侵检测产品通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。 （3） 混合式入侵检测系统 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝的结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 （4） 文件完整性检查工具 由于文件完整性检查工具与原始意义上的基于主机的入侵检测不同，它仅限于保护关键文件的完整性，所以将它作为一类产品单列。通过检查文件的数字摘要与其它一些属性，可判断文件是否被修改，从而检测出可能的入侵。文件完整性检查工具是非常有用的网管工具。