| |
| 按Webster辞典定义,入侵(Intrusion)是指任何试图危害资源的完整性、可信度和可获取性的动作,入侵检测(Intrusion Detection)是指发现或确定入侵行为存在或出现的动作。也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为,或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。入侵检测作为一门新兴的安全技术,以其对网络系统的实时监测和快速响应的特性,逐渐发展成为保障网络系统安全的关键部件。其基本原理如下图所示。
|
|
|
|
|
|
|
| 入侵检测系统(Intrusion Detection Systems,IDS)在ICSA(International Computer Security Association,国际计算机安全协会)的入侵检测系统论坛被定义为,通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。在允许各种网络资源以开放方式运作的前提下,入侵检测系统成了确保网络安全的一种新的手段,它通过实时的分析,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序以及系统或用户的行为模式,监控与安全有关的活动。入侵检测系统提供了用于发现入侵攻击与合法用户滥用特权的一种方法,IDS解决安全问题是基于如下假设的:入侵行为和合法行为是可区分的,也就是说可以通过提取行为的模式特征来判断该行为的性质。一个基本的入侵检测系统需要解决两个问题:一是如何区分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。
|
|
|
|
|
|
|
|
|
|
|
|
