根据系统特征分类
作为一个完整的系统,IDS显然不应该只包括检测器,它的很多系统特征同样值得认真研究。为此,将以下一些重要特征作为分类的考虑因素。
1.检测时间:有些系统以实时或近乎实时的方式检测入侵活动,而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线C作,系统就能
够根据以前保存的数据重建过去发生的重要安全事件。
2.数据处理的粒度:有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理C作,这就涉及到处理粒度的问题。它跟检测时间有一定关系,但二
者并不完全一样,一个系统可能在相当长的时延内进行连续数据处理,也可以实时地处理少量的批处理数据。
3.审计数据来源:主要有两种来源:网络数据和基于主机的安全日志文件。后者包括C作系统的内核日志、应用程序日志、网络设备(如路由器和防火墙)日志等。
4.入侵检测响应方式:分为主动响应和被动响应。被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击
者采取反击行动。主动响应系统可以分为两类:
(1)对被攻击系统实施控制。它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀Si可疑进程等。
(2)对攻击系统实施控制的系统。这种系统多被军方所重视和采用。
目前,主动响应系统还b较少,即使做出主动响应,一般也都是断开可疑攻击的网络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露于拒绝服务攻击
内容未完,下一页继续阅读