定义
入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。
入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件。
工作原理
1、信息收集
信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。
2、信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。
前两种用于实时入侵检测,完整性分析用于事后分析。
3、告警与响应
根据入侵性质和类型,做出相应的告警与响应。
主要功能
它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。
-
实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
-
安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据