㈠ 入侵檢測系統的分類及功能
據其採用的技術可以分為異常檢測和特徵檢測。 (1)異常檢測:異常檢測的假設是入侵者活動異常於正常主體的活動,建立正常活動的「活動簡檔」,當前主體的活動違反其統計規律時,認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成 (2)特徵檢測:特徵檢測假設入侵者活動可以用一種模式來表示,然後將觀察對象與之進行比較,判別是否符合這些模式。 (3)協議分析:利用網路協議的高度規則性快速探測攻擊的存在。 根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。(1)基於主機的入侵檢測系統:通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一,入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。 (2)基於網路的入侵檢測系統:基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據,分析可疑現象。這類系統不需要主機提供嚴格的審計,對主機資源消耗少,並可以提供對網路通用的保護而無需顧及異構主機的不同架構。 (3)分布式入侵檢測系統:目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包,不同的是,它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當於基於網路的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網路流量有一定的影響。 根據工作方式分為離線檢測系統與在線檢測系統。(1)離線檢測系統:離線檢測系統是非實時工作的系統,它在事後分析審計事件,從中檢查入侵活動。事後入侵檢測由網路管理人員進行,他們具有網路安全的專業知識,根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為,如果有就斷開連接,並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的,不具有實時性。 (2)在線檢測系統:在線檢測系統是實時聯機的檢測系統,它包含對實時網路數據包分析,實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。