第十一章 网络与信息安全 入侵检.pptVIP

4.两种入侵检测系统的结合运用 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺陷是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 * 5.分布式入侵检测系统 随着对网络基础设施依赖性的日益增强，人们越来越迫切地需要保证这些设施的安全性和抗攻击性。对于保护网络基础设施而言，需要某种机制实时地网络操作中那些可能指示异常事或恶意行为的活动模式，并且通过自动反应措施来进行响应。另外，这种机制还应该支持对事件数据的收集和相关处理过程，以便追踪那些应该为恶意行为负责的个体。分布式的入侵检测架构就是适应此种需求而迅速发展起来的。 * 分布式入侵检测系统（Distributed Intrusion Detection System）一般指的是部署于大规模网络环境下的入侵检测系统，任务是用来监视整个网络环境中的安全状态，包括网络设施本身和其中包含的主要系统。 分布式入侵检测系统与简单的基于主机的入侵检测系统不同的，它一般由多个部件组成，分布在网络的各个部分，完成相应的功能，如进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等，有的系统的中心控制部件可以监督和