试题详情
简答题入侵检测的概念?列出入侵检测系统的三种基本结构并进行比较。 
  • 入侵检测通常是指:对入侵行为的发觉或发现,通过从计算机网络或系统中某些检测点(关键位置)收集到的信息进行分析比较,从中发现网络或系统运行是否有异常现象和违反安全策略的行为发生。具体来说,入侵检测就是对网络系统的运行状态进行监视,检测发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的机密性、完整性和可用性。
    入侵检测的三种基本结构是: 基于主机型的体系结构、基于网络型的体系结构和基于分布式的体系结构。基于主机型的体系结构检测目标是主机系统和本地用户,该模型的缺陷是:若入侵者逃避审计则主机检测就失效;主机审计记录无法检测类似端口扫描的网络攻击;只适用于特定的用户、应用程序动作和日志等检测;将影响服务器的性能。基于网络型的入侵检测系统的优点是:配置简单,只需一个普通的网络访问接口即可;系统结构独立性好,进行通信流量监视时,不影响诸如服务器平台的变化和更新;监视对象多,可监视包括协议攻击和特定环境攻击的类型。除了自动检测,还能自动响应并及时报告。基于分布式的体系结构将探测器分布到网络中的每台计算机上。探测器可以检测到不同位置上流经它的网络分组,然后各探测器与管理模块相互通信,主控制台将不同探测点发出的所有告警信号收集在一起,通过关联分析,来检测入侵行为,主要用于高速网络的入侵检测。
  • 关注下方微信公众号,在线模考后查看

热门试题