目录
1. 什么是IDS?
IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)
设备本身(IDS系统)是一个软件与硬件的组合系统。
IDS的作用:实时监测
经典检测模型
通用的入侵检测系统抽象模型
● 主体(subject)
● 对象(object)
● 审计记录(audit record)
● 活动档案(profiles)
● 异常记录(anomoly records)
● 活动规则(activity rules)
入侵检测经典理论
系统访问控制要面对三类用户
● 合法用户
● 伪装–攻破【流程控制】
1、身份仿冒(可能是最早提出不能依赖于身份认证,还要坚强行为为监控以防
● 秘密用户
1、后门
2. IDS和防火墙有什么不同?
2.1 检测与监测
防火墙一般是一次性检查:检测系统
检测:一次性检查
IDS系统:实时监测系统
监测:长时间的