(图中箭头方向,可知,从4开始,故分析路径为4231)
入侵检测技术的核心包括两个方面:
一是如何充分并可靠地提取描述行为的特征数据;
二是如何根据特征数据,高效并准确地判断行为的性质。
它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统的实现过程如下图所示:
IETF将一个入侵检测系统分为4个组件:事件产生器(Event Generators);事件分析器(Event Analyzers)、响应单元(Response Units )、事件数据库(Event Databases )。
①事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
②事件分析器分析得到的数据,并产生分析结果。<
③响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
④事件数据库是存放各种中间数据和最终数据地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
这四个组件对应公共入侵检测框架示意图如图所示:
