(2)入侵检测系统
入侵检测(Intrusion Detection)是保障网络系统安全的关键部件,它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)和异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。在体系结构上,入侵检测由事件提取、入侵分析、入侵相应和远程管理四个主要部分组成。可执行的检测任务有:监视、分析用户及系统活动、系统构造和弱点的审计、识别分析知名攻击的行为特征并告警、异常行为特征的统计分析、评估重要的系统和数据文件的完整性,以及操作系统的审计跟踪管理,并识别用户违反安全策略的行为等。
入侵检测系统(IDS)按照功能大致划分为三类:主机IDS(HIDS)、网络IDS(NIDS)、和分布式IDS(DIDS)。虽然IDS是一种检测计算机系统恶意行为的重要技术,但它还有改进空间。精明的销售商向你推销新型的IDS时,承诺它的功能是多么的强大,但IDS不能做到检测出所有的入侵事件
