2.7.7 入侵检测系统的分类
如今入侵检测系统总共分为四类,分别是系统完整性校验系统(SIV);网络入侵检测系统(NIDS);日志分析系统(LFM);欺骗系统(DS)。下面就分别介绍这几种系统。
(1)系统完整性校验系统(SIV)
SIV主要是判断计算机系统是否有被黑客攻击的痕迹,同时检查系统文件是否被更改,以及是否留有后门,实时监视针对系统的活动。例如用户的命令、登录/退出过程,此类软件一般都是由管理员控制的。
(2)网络入侵检测系统(NIDS)
NIDS可以实时检验网络传输的数据包,检验端口是否有黑客扫描的痕迹。该系统监视计算机网络上发生的事件,然后进行安全分析,以此来判断入侵的企图。
分布式NIDS可以通过分布于不同节点的传感器或代理对整个网络或主机环境进行监视,监视平台收集各个节点信息并监视网络流动的数据和入侵企图。
(3)日志分析系统(LFM)
系统日志每天都记录了系统发生的各种各样的事件。如果有黑客入侵,日志文件也会有所记录。因此,日志对系统管理员来说非常重要,系统管理员可以利用日志查看计算机是否有被入侵的痕迹,做好系统的安全防护,还可以通过日志检查错误发生的原因。
日志分析系统的主要功能有审计和监测、追踪入侵者等。由于日志每天都会产生大量的信息,管理员自己分析会很麻烦,因此可以使用日志分析系统,它能帮助管理员从日志中提取有用的信息,让管理员可以针对攻击采取必要措施。
(4)欺骗系统(DS)
普通的系统管理员由于防黑客知识不足,只能对黑客的攻击作出预测发现的反应,而不能进行反击。而欺骗系统(DS)可以帮助管理员作好反击工作。
欺骗系统(DS)通过模拟系统漏洞欺骗入侵者,当系统管理员获得黑客的入侵迹象后,利用欺骗系统可以获得很好的效果。例如:重命名Administrator账号,然后再设立一个没有权限的虚拟账号,如此就增加系统的安全性了。
.jpg)
.jpg)
