一、入侵检测的概念
1、入侵检测的概念
- 检测对计算机系统的非授权访问
- 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性
- 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意攻击或探测,以及内部合法用户越权使用系统资源的非法行为。
所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统(IDS Intrusion Detection System)
入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,这些都通过它执行以下任务来实现:
- 监视、分析用户及系统的活动
- 系统构造和弱点的审计
- 识别反映已知攻击的活动模式并向相关人员报警
- 异常行为模式的统计分析
- 评估重要系统和数据文件的完整性
- 操作系统的审计跟踪管理,并识别用户违反安全策略的行为
2、IDS系统模型的四个部分
- 数据收集器
- 检测器
- 知识库
- 控制器