@Haggard
3年前 提问
1个回答

基于网络的入侵检测系统的信息源是什么

007bug
3年前

基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的数据包,从而检测是否存在入侵行为。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块。

入侵检测系统的工作原理如下:

  • 数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等;

  • 数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、噪声,并且进行数据标准化及格式化处理);

  • 数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵行为;

  • 响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留入侵证据以作他日调查所用,同时向管理员报警。