入侵检测系统的工作原理
入侵检测系统的工作原理主要包括以下几个部分:
1. 信息采集部件:这个部件用于采集原始信息,将各类复杂、凌乱的信息按照一定的格式进行格式化,并交付给入侵分析部件。
2. 入侵分析部件:这是入侵检测系统的核心部分,接收到信息采集部件收集的格式化信息后,按照部件内部的分析引擎进行入侵分析。当信息满足了引擎的入侵标准时,就触发了入侵响应机制。
3. 入侵响应部件:当入侵分析部件发现入侵后,向入侵响应部件发送入侵消息,由入侵响应部件根据具体的情况做出响应。
入侵检测系统常用的检测方法有:
1. 异常检测:这种方法是将用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。
2. 误用入侵检测:这种方法是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较,从而对违背安全策略的行为进行发现。
3. 基于状态转移分析的检测法:该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。