网络安全入侵检测技术
时间:2012-2-28
入侵检测技术是一种及时发现网络系统内部和外部对网络的攻击,非授权使用,误操作等的安全保障技术,网络入侵检测通常可分为以下几类;
1)基于主机的入侵检测,基于主机的入侵检测系统,主要通过对本地主机的操作系统中的用户,进程,系统和事件日志进行监控,发现入侵事件,例如非法的文件存取,未经授权的使用系统资源等.
2)基于网络的入侵检测.基于网络的入侵检测系统,主要对网络的传播,报文和流量进行监控,对可疑的异常情况和具有攻击牲的异常活动作出反应,通常由侦探器和管理站组成.侦探器侦探网段上所有报文并"探听"流量的变化分析可疑成分,发现和控制异常,向管理站报警并通知操作员.
3)基于应用的入侵检测.基于应用的入侵检测系统也可看作是基于主机的入侵检测的一部分,它主要检测分析诸如数据库系统等的交易日志文件来发现入侵事件.
4)文件完整性检查器,黑客入侵时,经常会改变一些重要文件,通过对关键文件进行消息摘要并周期地检查这些文件可以发现文件变化,及时触发文件完整性器发出警报而由系统管理员根据系统受害程度作出处理.
5)诱骗系统,也叫蜜罐系统,它是一个包含漏洞的系统,是故意给黑客提供的一个容易攻击的目标,骗系统主机不提供服务而是收集攻击者的入侵证据,其次是以攻击者在诱骗系统上浪费时间以拖延攻击者对真正目标的攻击.