08网络信息安全技术第5章全解.ppt

图5.9 分布式入侵检测系统结构示意图 （1） 数据采集构件 收集检测使用的数据，可驻留在网络中的主机上或安装在网络中的监测点。数据采集构件需要通信传输构件的协作， 将收集的信息传送到入侵检测分析构件去处理。  （2） 通信传输构件 传递检测的结果、 处理原始的数据和控制命令，一般需要和其它构件协作完成通信功能。  （3）入侵检测分析构件 依据检测的数据，采用检测算法， 对数据进行误用分析和异常分析，产生检测结果、报警和应急信号。 （4） 应急处理构件 按入侵检测的结果和主机、网络的实际情况，作出决策判断，对入侵行为进行响应。  （5）用户管理构件 管理其它构件的配置，产生入侵总体报告，提供用户和其它构件的管理接口，图形化工具或者可视化的界面， 供用户查询、 配置入侵检测系统情况等。 采用分布式结构的IDS目前成为研究的热点，较早系统有DIDS和CSM。 DIDS（Distributed Intrusion Detection System）是典型的分布式结构。其目标是既能检测网络入侵行为，又能检测主机的入侵行为。 5.5 入侵检测系统的测试评估 5.5.1测试评估概述 入侵检测系统的测试评估非常困难，涉及到操作系统、网络环境、工具、软件、硬件和数据库等技术方面的问题。由于入侵检