入侵检测系统的分类
根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系 统上安装一个程序。HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于主机的入侵检测系统有:ISS RealSecure 、Intruder Alter、CyberSafe Centrax IDS 、Emera expert-BSM、金诺网安KIDS、天阗主机版等。基于网络的入侵检测系统(NIDS): NIDS捕捉网络传输的各个数据包,并将其与 某些已知的攻击模式或签名进行比较,从而捕获入侵者的入侵企图。NIDS可以无源地安装,而不必对系统或网络进行较大的改动。基于网络的入侵检测系统有:Cisco Secure IDS 、 NFR IDS、 Anzen Flight Jacket 、 NetProwler、ISS RealSecure 、 天阗网络版等
根据检测原理,入侵检测系统可以分为:异常检测和滥用检测两种,然后分别对其 建立检测模型: ? 异常检测:在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过 程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。例如,某个用户一般会在星期一到星期五之间登录,但现在发现他在周六早上3:00登录,此时基于异常的入侵检测系统就会发出警告。
从理论上说,这种系统通常只能检测邮出系统有问题产生,而并不知道产生问题的原因所在。 ? 滥用检测:在滥用检测中,入侵过程及它在被观察系统中留下的踪迹是决策的基 础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用其他检测方式的产品。国外的入侵检测产品也基本上都是采用滥用检测模型的。
