入侵检测系统的分类 根据检测数据的采集来源

入侵检测系统的分类

根据检测数据的采集来源，入侵检测系统可以分为：基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。基于主机的入侵检测系统(HIDS)：HIDS一般是基于代理的，即需要在被保护的系 统上安装一个程序。HIDS用于保护关键应用的服务器，实时监视可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。基于主机的入侵检测系统有:ISS RealSecure 、Intruder Alter、CyberSafe Centrax IDS 、Emera expert-BSM、金诺网安KIDS、天阗主机版等。基于网络的入侵检测系统(NIDS)： NIDS捕捉网络传输的各个数据包，并将其与 某些已知的攻击模式或签名进行比较，从而捕获入侵者的入侵企图。NIDS可以无源地安装，而不必对系统或网络进行较大的改动。基于网络的入侵检测系统有：Cisco Secure IDS 、 NFR IDS、 Anzen Flight Jacket 、 NetProwler、ISS RealSecure 、 天阗网络版等

根据检测原理，入侵检测系统可以分为：异常检测和滥用检测两种，然后分别对其 建立检测模型： ? 异常检测：在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过 程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。例如，某个用户一般会在星期一到星期五之间登录，但现在发现他在周六早上3:00登录，此时基于异常的入侵检测系统就会发出警告。

从理论上说，这种系统通常只能检测邮出系统有问题产生，而并不知道产生问题的原因所在。 ? 滥用检测：在滥用检测中，入侵过程及它在被观察系统中留下的踪迹是决策的基 础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。滥用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏警。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用其他检测方式的产品。国外的入侵检测产品也基本上都是采用滥用检测模型的。

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库入侵检测系统的分类 根据检测数据的采集来源在线全文阅读。