基于网络的入侵检测
时间:2015-11-28
基于网络的入侵检测是采用实时监测网络数据包的方法进行动态入侵检测,系统将捕获和检查数据包头的内容,并与回眸书籍攻击模式比较,如果检测到恶意网络攻击,则采用适当的响应方法阻断攻击,通过,此设施由检测器,分析器,数据库和响应器组成.
1.检测器
用于采集和捕获网络中的数据包,并将异常数据包发送给分析器,根据网络安全策略,可以设置多个检测点,分别部署多个检测器,例如,在防火墙,服务器上都可部署检测器,如果用于检测来自因特网的攻击,则应将检测器部署在防火墙的外面,如果用于检测来自内部网的攻击则应将检测器部署在被监测系统的外面.
2.分析器
对接收来自检测器的异常报告,依数据库中书籍入侵模式进行分析比较,以确定是否发生了入侵行为,对不同入侵行为,通知响应器做出反应.
3.数据库
存入书籍入侵模式及日志信息,这些数据不仅仅为分析器提供决策依据,而且还可分析攻击趋势.
4.响应器,根据分析器决策结果,响应器做出适当反应,包括发出警报,终止逻辑连接,断开物理链路,引入陷阱以及回击攻击等.
当入侵检测系统捕获一个数据包后,首先检查其所用网络协议,签名以及其他特征信息,分析的推断数据包的用途和行为,如果数据包行为牲与已知攻击模式相吻合,则这个数据是攻击数据包,必须采用应急措施进行处理,这种检测方法对于未知网络攻击,仍存在检测盲点问题,这需要不断更新和维护入侵模式数据库,开发具有自学习功能的智能检测方法.