|
|
|
入侵检测技术是指对计算机网络资源的恶意使用行为(包括系统外部的入侵和内部用户的非授权行为)进行识别和相应处理。为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用户检测计算机网络中违反安全策略行为的技术。许多政府机构及大型公司(如花旗集团等)都采用了入侵检测方法。入侵检测方法也能够检测到其他情况,如是否遵守安全规程等。人们经常忽略安全机制(加利福尼亚一架大型航空公司每月发生2万~4万次违规事件),但系统能够检测到这些违规行为,及时改正违规行为。
|
|
|
|
从检测方法上,可将检测系统分为基于行为和基于知识两种;从检测系统所分析的原始数据上,可分为来自系统日志和网络数据包两种,前者一般以系统日志、应用程序日志等作为数据源,用以监测系统上正在运行的进程是否合法,后者直接从网络中采集原始数据包,其网络引擎放置在需要保护的网段内,不占用网络资源,对所有本网段内的数据包进行信息收集并判断。通常采用的入侵检测手段如下。
|
|
|
|
|
|
|
|
(3)识别反映已知进攻的活动模式并向相关人士报警。
|
|
|
|
|
|
|
|
(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
|
|
|
