https://www.myziyuan.com/
- 你大爷
- 根据所用的技术,它可以分为异常检测和特征检测。 (1)异常检测:异常检测的假设是在正常主题中异常的入侵活动的活动,建立正常活动的“活动简介”,当活性活动违反其统计数据时,它被认为是“入侵”行为。通过检测系统(2)特征检测的行为或使用情况(2)特征检测:特征检测假设入侵者活动可以由模式表示,然后比较观察对象,并区分它是否与这些模式一致。 (3)协议分析:使用网络协议的高规则快速检测攻击存在。基于对象是否是主机或网络是划分的d进入基于主机的入侵检测系统和基于网络的入侵检测系统。 (1)基于主机的入侵检测系统:通过监控分析主机的审计记录来入侵。无论是可以及时收集的是这些系统的弱点之一,入侵者将使用主机审核子系统作为攻击目标,以避免入侵检测系统。 (2)基于网络的入侵检测系统:基于网络的入侵检测系统通过在共享网段上的通信数据上收集数据来分析可疑现象。此类系统不需要主机提供严格的审计,宿主消耗,并为网络通用保护提供不同的架构,而无需采取不同的架构不相生的主持人。 (3)分布式入侵检测系统:目前,该技术已应用于ISS Realcure和其他产品。其检测到的数据也来自网络中的数据包,而且不同,它使用分布式检测,集中管理方法。也就是说,在每个网络段安装一个黑匣子,它相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用于监视网络段上的数据流,基于集中式安全管理中心开发的安全策略,响应规则等来分析检测网络数据,并将安全事件信息发送到集中式安全性管理中心。集中安全管理ENT Center是面向用户界面的整个分布式入侵检测系统。它的特点是更大的数据保护,但对网络流量存在一定影响。根据它分为离线检测系统和在线检测系统的方式。 (1)离线检测系统:离线检测系统是一个非实时工作系统,其自分析之后分析审计事件,并检查入侵活动。随后入侵检测,网络管理人员,他们有一个专业知识的网络安全,根据计算机系统的历史审计记录,用户判断是否存在入侵行为,如果存在断开,则侵入证据是记录和数据重新仔细记录。之后,入侵检测是常规或不规则的入侵检测,而无需实时。 (2)在线检测系统:在线检测系统是一个实时在线检测系统,包括实时网络数据包分析,实时主机审计分析。其工作过程是在网络连接期间执行实时入侵检测。根据用户的历史行为模型,存储在计算机中的专家知识和神经网络模型被判断为用户的当前操作。发现入侵后,Invader立即断开连接。连接到主机并收集证据并实施数据恢复。该检测过程连续环绕。
- 2021-09-10 09:33:11
- 111
- IDS是计算机的监控系统,一旦发现异常情况,就会发出警告。 IDS入侵检测系统分为几个类别,通过不同的信息来源,根据信息源,可以分为主机ID和基于网络的ID,可以分为异常入侵检测和滥用入侵检测,根据检测方法。与防火墙不同,IDS入侵检测系统是侦听器设备。没有必要在任何链接上流动。不需要流过它。因此,IDS的部署是:ID应该附加到必须流过所有流量的链接。这里,“遵循流”是指来自访问网络区域的网络消息,并且需要统计和mon迭代。在当今的网络拓扑中,很难找到先前集线器共享媒体冲突域的网络,并且大多数网络区域已完全升级到交换网络结构。因此,通常选择交换网络中的IDS的位置尽可能接近攻击源或尽可能接近受保护资源。这些位置通常是:在服务器区域的交换机上;互联网在路由器后连接到第一个开关;关注网络段的局域网交换机。由于入侵检测系统市场近年来发展迅速,因此许多公司已经投入了这一领域。 Venustech,互联网安全系统(ISS),思科,赛门铁克等推出了自己的产品。
- 2021-09-10 09:31:53
- 1264737478
- 常用的几种入侵检测系统我就知道snort,还有哪些详细介绍一下。,Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。 Snort最重要的用途还是作为网络入侵检测系统(NIDS)。
- 2021-09-10 09:31:53
开通会员