信息安全技术_08入侵检测技术与网络入侵检测系统产品概论.pptVIP

第 5 讲 安全检测技术 (1) 基于主机的入侵检测系统 这是早期的入侵检测系统结构，系统 (如图5.2所示) 的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序，根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上，从而实现监控。 第 5 讲 安全检测技术 这种类型的系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，就会出现问题。特别是在网络环境下，单独依靠主机审计信息进行入侵检测，将难以适应网络安全的需求。 第 5 讲 安全检测技术 基于主机的入侵检测系统可以精确地判断入侵事件，并可对入侵事件立即进行反应；还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密，通用性较差，并且IDS的分析过程会占用宝贵的主机资源。另外，对基于网络的攻击不敏感，特别是假冒IP的入侵。 第 5 讲 安全检测技术 由于服务器需要与因特网交互作用，因此在各服务器上应当安装基于主机的入侵检测软件，并将检测结果及时向管理员报告。基于主机的入侵检测系统没有带宽的限制，它们密切监视系统日志，能识别运行代理程序的机器上受到的攻击。基于主机的入侵检测系统提供了基于网络系统不能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭