入侵检测(Intrusion Detection),顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。因此,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
·监视、分析用户及系统活动;
·系统构造和弱点的审计;
·识别反映已知进攻的活动模式并向相关人士报警;
·异常行为模式的统计分析;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
下面,我将从入侵检测系统的功能、分类以及入侵检测技术这三个方面,来对此系统进行简单的介绍。
入侵检测系统的主要功能
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。具体来说,入侵检测系统的主要功能有:
·监测并分析用户和系统的活动;
·核查系统配置和漏洞;
·评估系统关键资源和数据文件的完整性;
·识别已知的攻击行为;
·统计分析异常行为;
·操作系统日志管理,并识别违反安全策略的用户活动。
入侵检测系统的分类
一般来说,入侵检测系统可分为主机型和网络型。
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
更多内容请看PCdog.com--IDS入侵检测 互联网安全 入侵防范专题
