入侵檢測的體系結構;
1.事件生成器:其目的是從整個計算環境中獲取事件,並提供給系統的其他部分。
2.事件分析器:它分析數據並產生分析結果。
3.響應單元:是對分析結果做出反應的功能單元。它可以做出切斷連接、更改文件屬性等強烈反應,或者幹脆報警。
4.事件數據庫:事件數據庫是存儲各種中間數據和最終數據的地方的總稱。它可以是復雜的數據庫,也可以是簡單的文本文件。
擴展數據:
根據入侵檢測的行為,入侵檢測系統分為兩種模式:異常檢測和誤用檢測。前者首先要建立壹個系統訪問正常行為的模型,任何訪問者不符合這個模型的行為都會被判定為入侵。
後者則相反,要先把所有可能的不利的、不可接受的行為歸納起來建立壹個模型,來訪者任何符合這個模型的行為都會被判定為入侵。
這兩種模式的安全策略完全不同,各有利弊:異常檢測的漏報率很低,但不符合正常行為模式的行為不壹定是惡意攻擊,所以這種策略的誤報率很高。
誤用檢測的誤報率很低,因為它直接匹配異常比較的不可接受行為模式。但是,惡意行為千變萬化,行為模式庫中可能沒有收集到,所以漏報率很高。
這就需要用戶根據本系統的特點和安全需求來制定策略和選擇行為檢測模式。現在用戶采用兩種模式結合的策略。
百度百科-入侵檢測
百度百科-入侵檢測系統