–
–
1
第
1
章
入侵检测概述
思考题:
(
1
)
分布式入侵检测系统
(
DIDS
)
是如何把基于主机的入侵检测方法和基于网络的入
侵检测方法集成在一起的?
答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝
试,
以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS
的最初
概念是采用集中式控制技术,向
DIDS
中心控制器发报告。
DIDS
解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪
网络用户和文件。
DIDS
允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户
身份的相关信息来处理这个问题。
DIDS
是第一个具有这个能力的入侵检测系统。
DIDS
解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数
据或事件。
这类信息要求要理解它们对整个网络的影响,
DIDS
用一个
6
层入侵检测模型
提取数据相关性,每层代表了对数据的一次变换结果。
(
2
)
入侵检测作用体现在哪些方面?
答:一般来说,入侵检测系统的作用体现在以下