入侵检测系统的分类有哪些?
入侵检测系统的分类包括:
按照分析方法分 (1) 异常检测:该检测方法是总结正常操作所具有的特征并用定量的方法加以描述, 当用户的活动与正常行为有很大的偏差时就认为是入侵。该方法的优点是不需要保存各种攻击特征的数据库, 随着统计数据的增加, 其检测的准确性也增高,由于用户的行为不容易在范围内, 当出错的概率比较大时, 它只能说明系统有可能发生了异常的情况, 不一定是受到了攻击,这给管理带来了很大的困难。 (2) 误用检测:该检测方法是收集整理非正常操作的行为特征,并建立特征库,当检测的系统行为与库中的记录相匹配时,就认为是入侵。
按照数据来源分 (1) 基于主机的入侵检测系统:系统的数据主要来自操作系统跟踪日志、审计记录和主动与主机系统进行交互而获得不存在于系统日志中的信息。它通过监视系统运行情况来检测入侵。这种类型的检测系统不需要额外的硬件。对网络流量不敏感, 效率高, 能准确定位入侵并及时进行反应, 但能检测到的攻击类型有限, 且占用主机资源, 依赖于主机的可靠住,不能检测网络攻击。 (2) 基于网络的入侵检系统:网络入侵检测系统的数据来源为原始的网络分组数据包。它通过在计算机网络中的某些点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。它的优势在于它的实时性, 当检测到攻击时,就能很快做出反应。另外它可以通过在一个点上监测整个网络中的数据包,并且它在检测网络包时并不依靠操作系统来提供数据。但它的缺点是只能检测经过本网段的数据流,无法了解主机内部的安全情况,而且网络传输的速度快,流量大,从而导致检测的精确度较差, 以致于漏检。
按照体系结构分 (1) 集中式:它只有一个中央入侵检测服务器, 多个分布于不同主机上的审计程序把当地收集到的数据发给这个入侵检测服务器,服务器对发来的数据进行分析并处理。它伸缩性强,但是配置性较差。 (2) 分布式:它将中央检测服务器的任务分配给多个主机入侵检测系统, 负责监视当地主机的一切活动。但是它的维护成本较高,主机的工作负担较重。
按照工作方式分 (1) 离线检测:是在行为发生后,对产生的数据进行分析,这种检测方式不能及时的保护系统,但是成本低,能对大量的事件做长期的分析。 (2) 在线检测:在监测数据产生的同时数据进行分析,这种检测方式能及时保护系统,反应灵敏。
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请您通过400-62-96871或关注我们的公众号与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
请先 登录后发表评论 ~