【计算机网络】网络安全 : 入侵检测系统 ( 基于特征的入侵检测系统 | 基于异常的入侵检测系统 )

文章目录

• 一、入侵检测系统 引入
• 二、入侵检测系统
• 三、入侵检测系统分类
• 四、基于特征的入侵检测系统
• 五、基于异常的入侵检测系统

一、入侵检测系统 引入

入侵检测系统 引入 :

① 防火墙作用 : 防火墙 的作用是 入侵 之前 , 阻止可疑通信 ;

② 引入 IDS : 但是 防火墙 不能阻止所有的 入侵通信 , 这里就需要 入侵检测系统 ;

二、入侵检测系统

入侵检测系统 ( IDS , Intrusion Detection System ) :

① 作用 : 在 入侵 开始后 , 没有造成危害前 , 检测到入侵 , 阻止该入侵 , 降低危害程度 ;

② 执行过程 : 进行 深度分组检查 , 发现 可以通信分组后 , 向 网络管理员发出 警告 , 由 网络管理员 进行 手动操作 , 或 自行处理 ( 误报率高 , 可能出错 ) ;

③ 检测的攻击种类 :

• 网络映射
• 端口扫描
• Dos 攻击
• 蠕虫
• 病毒
• 系统漏洞攻击

三、入侵检测系统分类

入侵检测系统分类 :

• 基于特征的入侵检测系统
• 基于异常的入侵检测系统

四、基于特征的入侵检测系统

基于特征的入侵检测系统 :

① 标志数据库 : 维护 已知攻击标志特征 数据库 ;

② 维护者 : 由 网络安全专家 维护上述数据库 , 由 网络管理员 操作加入特征到数据库中 ;

③ 弊端 : 只能检测已知攻击 , 不能检测未知攻击 ;

五、基于异常的入侵检测系统

基于异常的入侵检测系统 :

① 正常规律 : 观察 正常的网络流量 , 学习其 规律 ;

② 异常规律 : 当检测到某种 异常规律 时 , 认为发生了入侵 ;

大部分的 入侵检测系统 都是基于特征的 ;