入侵检测是从计算机网络或计算机系统中的若干关键点搜索信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。
入侵检测系统主要由四部分组成:事件产生器、事件分析器、响应单元和时间数据库。入侵检测系统根据信息来源与类型可以分为基于主机和基于网络两大类。入侵防护系统采用入侵检测技术,是一种基于高层应用防护的网络安全防护设备。
异常检测技术也称为基于行为的检测技术,是根据用户行为的行为和系统资源的使用状况与正常状态的模型比较从而判断是否存在入侵;误用检测技术也称为基于知识的检测技术或者模式匹配技术,它通过对实际行为和数据的特征匹配判断是否存在已知的网络入侵行为。比如专家检测系统就需要先建立专家经验知识的一系列if-then模式,然后捕捉动态行为进行匹配判断。
入侵检测系统可以部署在四个位置上:DMZ区、外网入口、内网主干和关键子网。要根据目标网络的具体情况以及企业的安全需求对入侵监测系统进行适当的配置,保证乳清检测系统正常有效地运行。
在进行入侵检测系统的管理时,需要保证及时处理系统输出,及时更新系统检测行为,适应网络不断变化的需求,同时注意对保存的日志信息的进一步分析和处理。通过认真的日志管理,保证入侵检测系统发挥最大的安全保障作用。
阅读(1562) | 评论(0) | 转发(0) |
