@微光
2年前 提问
1个回答
IDS系统模型主要包括哪几部分
趣能一姐
2年前
IDS系统模型主要包括以下几部分:
审计记录:由主体、活动、异常条件、资源使用情况和时间戳等组成。活动是主体对目标的操作,对操作系统而言,这些操作包括读、写、登录、退出等;异常条件是指系统对主体的该活动的异常报告,如违反系统读写权限;资源使用状况是系统的资源消耗情况,如CPU、内存使用率等;时间戳是活动发生时间。
活动简档:用于保存主体正常活动的有关信息,具体实现依赖于检测方法,在统计方法中从事件数量、频度、资源消耗等方面度量,可以使用方差、马尔可夫模型等方法实现。
异常记录:由事件、时间戳和审计记录等组成,用于表示异常事件的发生情况。
活动规则:规则集是检查入侵是否发生的处理引擎,结合活动简档用专家系统或统计方法等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采取相应的措施。
主体:在目标系统上活动的实体,如用户。
对象:系统资源,如文件、设备、命令等。