入侵检测(Intrusion Detection, ID), 顾名思义, 是对入侵行为的检测。 它通过收集和分析计算机网络或计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System, IDS)。
入侵检测的研究最早可以追溯到詹姆斯·安德森在1980 年为美国空军做的题为《计算机安全威胁监控与监视》 的技术报告, 该报告第一次详细阐述了入侵检测的概念。 他提出了一种对计算机系统风险和威胁的分类方法, 并将威胁分为外部渗透、内部渗透和不法行为3 种, 还提出了利用审计跟踪数据监视入侵活动的思想。 他的理论成为入侵检测系统设计及开发的基础, 他的工作成为基于主机的入侵检测系统和其他入侵检测系统的出发点。
一般而言, 入侵检测通过网络封包或信息的收集, 检测可能的入侵行为, 并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。 为了达成这个目的,入侵检测系统应包含3 个必要功能的组件, 即信息来源、分析引擎和响应组件, 其具体如下。
(1) 信息来源(Information Source): 为检测可能的恶意攻击, IDS 所检测的网络或系统必须能提供足够的信息给IDS, 资料来源组件的任务就是要收集这些信息作为IDS 分析引擎的资料输入。(www.xing528.com)
(2) 分析引擎(Analysis Engine): 利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。
(3) 响应模组(Response Component): 能够根据分析引擎的输出来采取应有的行动,通常具有自动化机制, 如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
