@Lemon
2年前 提问
1个回答
入侵检测系统的模型有哪些
安全小白成长记
2年前
入侵检测系统的模型如下:
Denning入侵检测模型:入侵检测模型最早由Dorthy Denning在1987年提出,目前的各种入侵检测技术和体系都是在这个基础上的扩展和细化。Denning提出的模型是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型,然后将当前的事件和模型进行比较,如果不匹配则认为是异常入侵。Denning入侵检测模型是一个基于规则的匹配系统。该模型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计记录、活动剖面、异常记录和规则集处理引擎六个部分组成。
层次式入侵检测模型:层次式入侵模型对收集到的数据进行加工抽象和关联操作,简化了对跨域单机的入侵行为识别。层次化模型将IDS分为六个层次,由低到高分别是数据层、事件层、主体层、上下文层、威胁层和安全状态层。
管理式入侵检测模型:管理式入侵检测模型英文名称叫作SNMP-IDSM,它从网络管理的角度出发解决多个IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言来实现IDS之间的消息交换和协同检测。
入侵检测系统的组成如下:
事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:接收事件信息,经过分析得到数据,并产生分析结果,并将判断的结构转变为警告信息。
响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。