信息安全技术入侵检测技术与网络入侵检测系统产品.pptVIP

第 5 讲 安全检测技术 3. 入侵检测系统的结构 由于IDS的物理实现方式不同，即系统组成的结构不同，按检测的监控位置划分，入侵检测系统可分为基于主机、基于网络和分布式三类。 第三十一页，共五十四页。 第 5 讲 安全检测技术 (1) 基于主机的入侵检测系统 这是早期的入侵检测系统结构，系统 (如图5.2所示) 的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序，根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上，从而实现监控。 第三十二页，共五十四页。 第 5 讲 安全检测技术 这种类型的系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，就会出现问题。特别是在网络环境下，单独依靠主机审计信息进行入侵检测，将难以适应网络安全的需求。 第三十三页，共五十四页。 第 5 讲 安全检测技术 基于主机的入侵检测系统可以精确地判断入侵事件，并可对入侵事件立即进行反应；还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密，通用性较差，并且IDS的分析过程会占用宝贵的主机资源。另外，对基于网络的攻击不敏感，特别是假冒IP的入侵。 第三十四页，共五十四页。 第 5 讲 安全检测技术 由于服务器需要与因特网交互作用，