入侵检测系统是如何工作的
时间:2014-11-8
一个分布式入侵检测系统可能关注若干个或所有的数据,具体取决于其远程探测器的实现,入侵检测系统可能采用多种店小二为收集这些数据,包括包嗅探,或对本地系统和应用程序进行日志分析,或在内核模式下监控系统调用来控制本地应用程序的非法行为,监控文件系统来检测是否有非法访问.
收集到这些数据后,入侵检测系统使用多种方法来发现入侵或试图入侵的行为,正如防火墙,一个入侵检测系统可以采用预定义合法或非法规则的方法进行检测,通过这些规则来识别哪些是合法的数据并对其他情况进行预警,有些检测引擎采用复杂的协议模型,这些系统属于预定义合法规则的方式,事先定义协议允许的数据流,对此之外的情况接触发预警,对应用程序逻辑检测的入侵检测系统采用基于语言的模型,同样属于预定义合法规则的方式,当检测到预定义的允许语言或应用程序温文尔雅之外的结构时触发预警.
预定义非法规则的实现则相对简单,不需要构造一个复杂的合法输入模型,而只需要对匹配的非法数据进行预警,大部分的基于牲的入侵检测系统就是通过预定义非法规则实现的,往往通过一个可扩展的数据库来存储恶意攻击特征,这两种方式可以同时应用于一台入侵检测系统,在使用预定义的非法牲检测的同时采用基于合法行为的异常检测来发现更多的攻击.
最后需要考虑的是,当一个入侵检测系统发现攻击时所采取的措施,入侵检测系统的响应机制通常可以分为被动响应和主动响应,被动响应就是只生成预警或日志,并不对网络数据流采取任何操作,主动响应可能会发送数据包中断TCP连接,如果是联机检测系统,则会中断这个传输,将当前主机加入黑名单或与数据流进行主动交互.