【摘要】:在判断系统是否被入侵前,入侵检测系统需要通过各个方面收集信息,例如对网络或主机上安全漏洞的扫描,查找非授权使用网络或主机系统的企图,以此判断是否有入侵行为。当收集到足够的信息时,入侵检测系统会自动将这些数据与自身已知入侵方式和相关参数进行对比,以此进行检测。入侵检测系统作为一种“主动防御”的检测技术,能够迅速为系统攻击、网络攻击和用户错误操作提供实时保护。
2.7.8 入侵检测的步骤
入侵检测系统一般分为两种检测方法:一种是基于特征码的检测方法;另一种是异常检测方法。
在判断系统是否被入侵前,入侵检测系统需要通过各个方面收集信息,例如对网络或主机上安全漏洞的扫描,查找非授权使用网络或主机系统的企图,以此判断是否有入侵行为。
黑客在攻击系统的过程中往往会在日志文件中留下痕迹,因此,检测系统必然会检查网络日志文件。黑客在取得管理员权限后最喜欢做的就是破坏或修改系统文件,此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常情况,从而判断入侵的程度,同时将系统运行情况与常见的入侵程序造成的后果的数据进行比较,从而判断是否被入侵。
另外,入侵检测系统还可以使用系统命令检查、搜索系统本身是否被攻击。当收集到足够的信息时,入侵检测系统会自动将这些数据与自身已知入侵方式和相关参数进行对比,以此进行检测。但是让用户不方便的是入侵检测系统需要不断地升级数据库,这样才能够抵御不断更新的入侵工具。
入侵检测系统作为一种“主动防御”的检测技术,能够迅速为系统攻击、网络攻击和用户错误操作提供实时保护。在检测到入侵企图时自动进行拦截和提醒管理员采取防护措施。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
