|
|
知识路径: > 网络安全 > IDS、IPS > 入侵检测系统概述 >
|
|
相关知识点:5个
|
|
|
|
|
DARPA提出的公共入侵检测框架(CIDF)由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元,如下图所示。
|
|
|
|
|
|
|
|
(1)事件产生器(Event generators, E-boxes)。负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面:系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息,并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
|
|
|
|
(2)事件分析器(Event Analyzers, A-boxes)。接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,分析方法有下面3种。
|
|
|
|
①模式匹配。将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
|
|
|
|
②统计分析。首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
|
|
|
|
③数据完整性分析。主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
|
|
|
|
(3)事件数据库(Event Databases, D-boxes)。存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
|
|
|
|
(4)响应单元(Response units, R-boxes)。根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
|
|
|
