入侵检测系统的分类
入侵检测系统主要可以分为以下几类:
1. 网络入侵检测系统(NIDS):分析传入网络流量的系统。
2. 主机入侵检测系统(HIDS):监控重要操作系统文件的系统。
3. 基于签名的入侵检测系统(SIDS):监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,类似于防病毒软件。
4. 基于异常的入侵检测系统(AIDS):提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,经常使用机器学习。
5. 混合检测系统:在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,判断更全面、准确、可靠。
此外,入侵检测系统还可以根据采用的技术分为异常检测和特征检测。异常检测假设入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式。
