入侵检测系统FQ(全).docVIP

入侵检测系统FAQ（全） 1.1 什么是网络侵入检测系统(NIDS)? 入侵是指一些人(称为黑客, 骇客)试图进入或者滥用你的系统。词语滥用的范围是很广泛的，可以包括从严厉的偷窃机密数据到一些次要的事情，比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢，这个是主要的)。 侵入检测系统(IDS)是用来检测这些入侵的系统。根据这个FAQ的打算，IDS可以有如下的分类: 网络侵入检测系统(NIDS) 监视网线的数据包并试图是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器, 路由器, 探测器[probe])。注意一个网络IDS监视很多主机，然而其他的只是监视一个主机(他们所安装的)。 系统完整检验(SIV) 监视系统文件试图发现是否有侵入者更改了文件(可能留个后门)。这样系统最著名的就是Tripwire。一个SIV也应该能监视其他的组件，比如Windows的注册表和chron的配置, 目的是发现知名的迹象。他也应该能检测到一个一般用户偶然获得root/Administrator级别权限。这个领域更多的产品应该被认为是工