| 应用于不同的网络环境和不同的系统安全策略,IDS在具体实现上也有所不同。从系统构成上看,IDS至少包括数据提取、入侵分析、响应处理三大部分,另外还可以结合安全知识库、数据存储等功能模块,提供更为完善的安全检测技术据分析功能。
|
|
|
|
|
|
|
|
|
| 数据提取模块在IDS中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其他预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计数据,是IDS的数据采集器。
|
|
|
| 入侵分析模块是IDS的核心模块,包括对原始数据进行同步、整理、组织、分类、特征提取以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于正常和异常行为的判断。这种行为的鉴别可以实时进行,也可以是事后的分析。
|
|
|
| 响应处理模块的工作实际上反映了当发现了入侵者的攻击行为之后,该怎么办的问题。可选的相应措施包括主动响应和被动响应。前者以自动的或用户设置的方式阻断攻击过程;后者则只对发生的时间进行报告和记录,由安全管理员负责下一步的行动。
|
|
|
|
|
|
|
|
|
| (3)网络IDS系统是一个独立的网络设备,可以做到对黑客不透明,因此其自身的安全性很高。
|
|
|
| (4)网络IDS系统及时实时监测系统,也是记录审计系统,可以做到实时保护和事后取证分析。
|
|
|
| (5)主机IDS系统运行于保护系统之上,可以直接保护和恢复系统。
|
|
|
| (6)通过与防火墙的连动,可以更有效地阻止非法入侵和破坏。
|
|
|
