| |
| 最早的入侵检测模型是由Denning给出的,该模型主要根据主机系统的审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异,发现系统的入侵行为,如下图所示。
|
|
|
|
|
|
|
| 随着入侵行为的种类不断增多,许多攻击是经过长时期准备的。面对这种情况,入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。于是,一种通用的入侵检测框架模型被提出,简称为CIDF。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成,如下图所示。CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获得事件,并向系统的其他部分提供事件。事件分析器分析所得到的数据,并产生分析结果。响应单元对分析结果做出反应,如切断网络连接、改变文件属性、简单报警等应急响应。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。CIDF模型具有很强的扩展性,目前已经得到广泛认同。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
