入侵检测系统是什么?
安全系统是安全的,“必须满足完整性和可用性要求。然而,当前的网络攻击和威胁通常是由操作系统和应用程序的缺陷引起的。理想的解决方案是建立一个绝对安全的系统,但实际上这是不可能的,没有绝对安全的体系。首先,现有系统存在缺陷,难以完全转换为安全系统。其次,目前广泛使用的加密算法本身也存在问题。第三,系统容易受到内部用户的攻击和破坏,这就是为什么安全问题不断发生的原因。
入侵检测系统使用入侵检测技术来保护网络或主机。典型的入侵检测系统由以下三部分组成:
(1) 事件集合。通过入侵检测和分析的原始数据,从被监控的系统或网络中获取信息。数据源通常包括网络流量信息和各种日志数据。不同的入侵检测系统以不同的方式收集和存储数据。采集的原始数据通常需要进行预处理,包括数据整理、归一化、特征降维等。
(2) 事件分析。根据捕获的事件数据分析入侵者事件。根据不同环境的需要,分析不同级别的事件。例如,区分异常行为,识别入侵行为,分析攻击目标和趋势,创建攻击场景。
(3) 事件响应。您可以根据事件分析结果定义异常、威胁和入侵者的响应级别,并根据威胁级别设置响应级别以设置操作,如进程中断、权限更改和警告。
入侵检测技术有多种分类方法,根据监控对象的不同,可以分为基于主机的入侵检测和基于网络的入侵检测。根据体系结构的不同,可以分为分布式入侵检测和集中式入侵检测。根据反应机制的不同,可以分为主动入侵检测和被动入侵检测。
入侵检测系统是什么?这个问题你了解了吗?
