第章入侵检测系统分析.pptVIP

第6章 入侵检测系统 6.1 入侵检测原理与分类 入侵检测技术可以归结为安全审计数据的分析与处理； 核心问题是获取描述行为特征的数据； 利用特征数据精确地判断行为的性质； 按照预定策略实施响应； IDS至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。 IDS工作原理 IDS分类 根据数据采集位置、分析引擎采用的分析方法、分析数据的时间和响应处理的方式进行分类; 根据数据采集的位置，分为基于主机（host-based）、基于网络（network-based）、基于应用（application-based）和基于目标（target-based）等; 依据分析引擎采用的分析方法，分为异常检测（anomaly detection）和误用检测（misuse detection）; 按照分析数据的时间不同，分为实时检测和离线检测; 主机入侵检测系统 当入侵检测监视的对象为主机审计数据源时，称为主机入侵检测系统HIDS; HIDS利用数据分析算法对操作系统审计记录、系统日志、应用程序日志或系统调用序列等主机数据源进行分析; 归纳出主机系统活动的特征或模式，作为对正常和异常行为进行判断的基准，主要用于保护提供关键应用服务的服务器。 HIDS 优点 检测精度高 监控的对象明确与集中; 不受加密和交换设备影响 只关注主机发生的事件，不关心网络事件，检测性能不受数据加密、隧道和交换设备影响