Unit7_典型入侵检测系统的分析的研究.pptVIP

入侵检测及扫描技术 —— 典型入侵检测系统分析 AAFID （Autonomous Agents for Intrusion Detection） 主要内容 背景知识： AAFID的历史： AAFID的系统结构和组成 AAFID的类层次结构 实体运行模式 关键模块剖析 有待进一步研究的问题 传统IDS的局限性 使用一台主机收集和分析数据，或使用分布在不同主机上的模块进行分布式数据收集，但数据分析仍然由一台主机（中心控制台）来进行。 传统IDS的局限性（续） 控制台是瓶颈：它若失效整个IDS就将失去功效 系统扩展性不强：受监控网络规模不能太大 重新配置 IDS或增加新功能比较困难：增加模块或配置文件要重新启动IDS 对网络数据的分析过程中存在安全隐患:攻击者可能会做手脚。 什么是软件代理（software agent）？ 什么是自治代理？ 自治代理是一种能够在一台主机上执行某种安全监视功能的软件代理。 其自治特性是： 独立运行，其执行仅由操作系统调度，不受其他进程调度。 可能（不）需要其他代理产生的数据来完成他们的工作。 可以收到高级控制命令，如启动或停止执行，或改变操作参数等。 使用自治代理的IDS的目标特性 连续运行（Continuous running）： 容错性（Fault tolerance）: 抗颠覆（Resist subversion）: 最小额外支出（Minimal