第6章入侵测技术6.pptVIP

第6章 混合型的入侵检测技术 6.1 采用多种信息源 6.2 采用多种检测方法 本章所指的混合型入侵检测技术，主要分为两种类型： 第一种类型是指采用多种信息输入源的入侵检测技术，例如同时采用网络数据包和主机审计数据作为数据来源，其中以DIDS系统为典型代表加以介绍；第二种类型则强调采用多种不同类型的入侵检测方法，例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术，其中以早期著名的IDES和NIDES系统为代表。 6.1 采用多种信息源 DIDS系统的开发始于20世纪90年代初期，在技术发展历程中，它是将网络入侵检测与主机入侵检测技术进行集成的首次尝试。 6.1.1 总体设计 DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机，并且这些主机系统都满足C2等级的安全审计功能要求。DIDS所要完成的任务是监控网络中各个主机的安全状态，同时检测针对局域网本身的攻击行为。DIDS的系统设计架构如图6-1所示。 图6-1 DIDS系统架构 如图6-1所示，因为DIDS要完成同时检测主机和网络安全状态的任务，所以，系统同时采用了网络数据和主机审计数据两种数据来源。 DIDS系统主要包括3种类型的组件： 主机监控器（host monitor）、局域网监控器（LAN monitor）和中央控制台（director）。 DIDS早期系统中采用的通信协