『壹』 什麼是入侵檢測技術,入侵檢測系統模型包含哪三個功能部件
入侵檢測是指「通過對行為、安全日誌或審計數據或其它網路上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖」。入侵檢測是檢測和響應計算機誤用的學科,其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。
三部分:信息收集、信息分析和結果處理。
(1)信息收集:入侵檢測的第一步是信息收集,收集內容包括系統、網路、數據及用戶活動的狀態和行為。由放置在不同網段的感測器或不同主機的代理來收集信息,包括系統和網路日誌文件、網路流量、非正常的目錄和文件改變、非正常的程序執行。
(2)信息分析:收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息,被送到檢測引擎,檢測引擎駐留在感測器中,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時,產生一個告警並發送給控制台。
(3)結果處理:控制台按照告警產生預先定義的響應採取相應措施,可以是重新配置路由器或防火牆、終止進程、切斷連接、改變文件屬性,也可以只是簡單的告警。