文章目录
- 一、入侵检测系统 引入
- 二、入侵检测系统
- 三、入侵检测系统分类
- 四、基于特征的入侵检测系统
- 五、基于异常的入侵检测系统
一、入侵检测系统 引入
入侵检测系统 引入 :
① 防火墙作用 : 防火墙 的作用是 入侵 之前 , 阻止可疑通信 ;
② 引入 IDS : 但是 防火墙 不能阻止所有的 入侵通信 , 这里就需要 入侵检测系统 ;
二、入侵检测系统
入侵检测系统 ( IDS , Intrusion Detection System ) :
① 作用 : 在 入侵 开始后 , 没有造成危害前 , 检测到入侵 , 阻止该入侵 , 降低危害程度 ;
② 执行过程 : 进行 深度分组检查 , 发现 可以通信分组后 , 向 网络管理员发出 警告 , 由 网络管理员 进行 手动操作 , 或 自行处理 ( 误报率高 , 可能出错 ) ;
③ 检测的攻击种类 :
- 网络映射
- 端口扫描
- Dos 攻击
- 蠕虫
- 病毒
- 系统漏洞攻击
三、入侵检测系统分类
入侵检测系统分类 :
- 基于特征的入侵检测系统
- 基于异常的入侵检测系统
四、基于特征的入侵检测系统
基于特征的入侵检测系统 :
① 标志数据库 : 维护 已知攻击标志特征 数据库 ;
② 维护者 : 由 网络安全专家 维护上述数据库 , 由 网络管理员 操作加入特征到数据库中 ;
③ 弊端 : 只能检测已知攻击 , 不能检测未知攻击 ;
五、基于异常的入侵检测系统
基于异常的入侵检测系统 :
① 正常规律 : 观察 正常的网络流量 , 学习其 规律 ;
② 异常规律 : 当检测到某种 异常规律 时 , 认为发生了入侵 ;
大部分的 入侵检测系统 都是基于特征的 ;
