安胜入侵检测系统

　　上述过程是一个螺旋上升的过程。用户通过一个过程，弥补已有的安全漏洞，制定新的安全策略，提升防护水平，加强网络抵抗攻击的能力。 
　　入侵检测相当于PDDR模型中的检测，是安全防护当中重要的一环。 
　　2. 入侵检测系统（IDS） 4. ERCIST-IDS设计
　　ERCIST-IDS管理中心运行在Windows平台上；数据管理器运行在Windows平台上；网络系统嗅探器运行在RedHatLinux 7.3平台上或Windows平台上，也可以黑盒子形式提供给用户。三者可以运行在一台主机上，也可以单独运行在各自的主机上，用户可以根据网络流量和网络资源进行权衡。
　　Console是系统的人机交互接口。帮助用户制定符合本单位网络特点的安全策略，管理Sensor的运行，提供网络安全事件查询接口，以可视化方法显示网络系统运行状况和网络安全事件等。Console建有入侵模式匹配库，存有大量的入侵模式信息。
　　Data Manager管理Sensor发送来的安全事件报警数据，一方面存入Microsoft Access数据库，另一方面将需要实时通知给用户的数据及时发送给Console。Data Manager负责对数据库进行维护。
　　Sensor负责采集、提取、分析网络数据流，使用系统提供的入侵模式库匹配网络数据流，当匹配成功时，可以采用阻断或向Data Manager发送事件报警消息等应对措施。
　　系统设计图： 
　　2.1. 什么是IDS 
　　入侵检测（Intrusion Detection）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 
　　入侵检测系统采用的技术不尽相同，通常有： 
　　根据数据来源的不同，可以将入侵检测系统分为3类： 
　　基于主机：收集操作系统的信息，如：系统日志。 
　　基于网络：收集网络信息，即网络数据包。 
　　混合型：既收集操作系统的信息又收集网络线路上的信息。 
　　基于主机的IDS一般需要在目标主机上安装安全代理。基于网络的IDS则需要选择合适的网络接入点，以采集到需要检测的数据流。 
　　根据检测方法的不同，可以将入侵检测分为3类： 
　　异常检测模型：建立系统正常工作模型，把当前活动与该正常模型进行比对，一旦发现偏离正常统计学意义上的操作模式，即认为发生了入侵行为。 
　　误用检测模型：采集入侵行为的特征，建立相关的特征库。在检测过程中，将收集到的数据与特征库中的特征代码进行比较，以判别是否发生了入侵行为。 
　　目前大部分IDS都采用误用检测模型。 
　　根据检测时机的不同，可以将入侵检测分为2类： 
　　实时分析：就是在数据产生或则发生改变的同时对其进行检测，以发现入侵行为。 
　　非实时分析。 
　　实时分析能够及时发现入侵行为，但对系统资源要求较高，需要高效的检测方法。 
　　根据各个部件运行方式的不同，可以将入侵检测分为2类： 
　　集中式：系统的各个模块包括数据的收集与分析以及响应模块都集中在一台主机上运行。 
　　分布式：系统的各个模块分布在网络中不同的设备上。 
　　通常集中式系统适用于网络环境比较简单的情况。分布式系统适用于网络环境比较复杂、数据量比较大的环境。 
　　2.2. IDS的特点 
　　提高整个网络安全体系结构的可靠性。IDS通常与防火墙、安全路由器、管理服务器等安全系统一起构筑网络安全防护体系，这些设备通常是黑客攻击的主要目标。IDS能够监测这些设备的工作情况，及时发现入侵行为，必要时阻断黑客攻击，从而保障整个网络安全体系结构的可靠性。 
　　发现系统资源滥用情况，了解系统工作状况。从对系统审计和其它系统日志的分析中可以得知系统内部运转状况，从而发现对系统资源的使用是否存在不合理现象。 
　　跟踪用户活动轨迹。有经验的黑客有时能穿过防火墙，IDS能够跟踪用户活动，记录用户活动开始直至结束的全过程，从而改进网络的安全性。 
　　能够识别和报告对数据文件的修改。 
　　能够发现由于系统配置不当造成的安全隐患，有时还可根据用户的需要修正配置。 
　　识别特定的入侵行为，给管理员发送报警信息，及时采取响应措施。 

 2/5   首页 上一页 1 2 3 4 5 下一页 尾页