@火凤凰
2年前 提问
1个回答
按照检测对象将入侵检测分为什么
房乐
2年前
入侵检测包含两层意思,一是对外部入侵(非授权使用)行为的检测;二是对内部用户(合法用户)滥用自身权利的检测。按照检测对象将入侵检测分为以下三种:
基于主机型入侵检测:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,他们与命令控制台(console)通信。
基于网络型的入侵检测:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
基于混合型入侵检测:该模式是将基于网络的入侵检测系统和基于主机的入侵检测系统进行混合,因为基于网络和主机的系统都有不足之处,会造成防御体系的不全面,而混合型的入侵检测系统综合了两种的优势即可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。