| |
| 一个入侵检测系统主要由以下功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。数据采集模块的功能是为入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为出现,并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务,是IDS系统中的模块与用户的接口。应急处理模块的功能是发生入侵后,提供紧急响应服务,例如关闭网络服务、中断网络连接、启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等。下图给出了一个通用的入侵检测系统结构。
|
|
|
|
|
|
|
| 图中的系统是一个广泛的概念,可能是工作站、网段、服务器、防火墙、Web服务器、企业网等。虽然每一种IDS在概念上是一致的,但在具体实现时,所采用的分析数据方法、采集数据以及保护对象等关键方面还是有所区别的。根据IDS的检测数据来源和它的安全作用范围,可将IDS分为三大类:第一类是基于主机的入侵检测系统(简称HIDS),即通过分析主机的信息来检测入侵行为;第二类是基于网络的入侵检测系统(简称NIDS),即通过获取网络通信中的数据包,对这些数据包进行攻击特征扫描或异常建模来发现入侵行为;第三类是分布式入侵检测系统(简称DIDS),从多台主机、多个网段采集检测数据,或者收集单个IDS的报警信息,根据收集到的信息进行综合分析,以发现入侵行为。
|
|
|
|
|
|
|
|
|
|
|
|
