入侵檢測是防火墻的合理補充。
入侵檢測的系統結構組成:
1、事件產生器:它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
2、事件分析器:它經過分析得到數據,並產生分析結果。
3、響應單元:它是對分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
4、事件數據庫:事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
擴展資料:
入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立壹個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵。
後者則相反,先要將所有可能發生的不利的不可接受的行為歸納建立壹個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。
這兩種模式的安全策略是完全不同的,而且,它們各有長處和短處:異常檢測的漏報率很低,但是不符合正常行為模式的行為並不見得就是惡意攻擊,因此這種策略誤報率較高。
誤用檢測由於直接匹配比對異常的不可接受的行為模式,因此誤報率較低。但惡意行為千變萬化,可能沒有被收集在行為模式庫中,因此漏報率就很高。
這就要求用戶必須根據本系統的特點和安全要求來制定策略,選擇行為檢測模式。現在用戶都采取兩種模式相結合的策略。
百度百科—入侵檢測
百度百科—入侵檢測系統