机房入侵检测系统(IDS)是一种网络安全工具,可以实现实时监控,这与其他网络安全工具不同,因为IDS是一种主动防御方法。
基本上,机房入侵检测系统是典型的“侦察设备”.它是多个物理网络(通常只有一个侦听端口),不需要连接或传输任何数据。只有在网络中才能收集被动、沉默和有趣的信息。入侵检测系统提取相关的统计数据并嵌入入侵数据库,根据预先设定的阀门值,高度聚合的信息流被认为是攻击,并且入侵检测系统将相应地设置报警或限制响应。
1、基于计算机的搜索系统(HIDS)
服务器,主要用于保护关键应用程序。通过监视和分析主机帐户和日志文件检测到入侵。日志包含证据这些证据表明日志可以检测到成功的入侵或入侵尝试,并在紧急情况下采取适当的措施。
2、基于Internet的入侵检测系统(NIDS)
基本信息,用于实时控制网络密钥。它允许监视网络中的所有组并收集数据以分析事件。基于网络的系统入侵检测可以使用源网络数据包作为源,使用在通用混合模式下运行的网络适配器,用于实时监控,并通过网络分析所有通信服务.
1、异常
异常检测是根据异常行为和计算机资源的使用情况进行入侵检测.在异常检测的基础上进行入侵检测首先建立了用户正常行为的统计模型,然后将当前行为作为正常行为的标志。
2、误用
使用入侵检测技术将收集到的数据与预先定义的特征数据库中的不同攻击模型进行比较,并确定这完全取决于特征存储库。因此,无法判断未知的攻击,而且不能经常使用。
1、集中式
集中入侵检测系统包括分布在不同载体上的多个审计程序,但只有集中的入侵检测系统。
测试服务器和审核程序将收集到的数据发送到中心服务器进行分析和处理。使用此结构的入侵检测系统可以随着网络的扩展,审核程序和服务器之间传输的数据量增加,如果中央服务器出现故障,整个系统都将瘫痪.按服务器请求安装服务器也很困难.
2、层次
层次(本地分发)入侵检测系统为所有入侵定义不同的监视级别检测系统负责区域.在入侵检测系统的各级,只分析监控区域,然后将局部分析结果传递给上级入侵检测系统.首先,在网络拓扑发生变化的情况下,区域分析结果的统计系统应作相应的调整.二、该结构的入侵检测系统需要将最终采集结果传输到最先进的测试服务器进行全面分析,因此,该系统的安全性没有显著提高。