计算机网络信息安全理论与实践教程第11章.pptVIP

11.3 入侵检测系统的组成与分类 11.3.1 入侵检测系统的组成 　　一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式)，根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。 　　该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是IDS系统中的模块与用户的接口。应急处理模块的功能是发生入侵后，提供紧急响应服务，例如关闭网络服务/中断网络连接/启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。图11-5给出了一个通用的入侵检测系统结构。 　　图11-5中的系统是一个广泛的概念，可以是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种IDS在概念上是一致的，但在具体实现时，它在采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别。根据IDS的检测数据来源和它的安全作用范围，可将IDS分为三大类：第一类是基于主机的入侵检测系统(简称HIDS)，即通过分析主机的信息来检测入侵行为；第二类是基于网络的入侵检