入侵检测是一项重要的安全监控技术,其目的是识别系统中入侵者的非授权使用及系统合法用户的滥用行为,尽量发现系统因软件错误、认证模块的失效、不适当的系统管理而引起的安全性缺陷并采取相应的补救措施。
图5.2是一个不依赖于某些特殊系统、应用环境、系统缺陷和入侵类型的通用型入侵检测模型。其基本思路为:入侵者的行为和合法用户的异常行为是可以从合法用户的正常行为中区别出来的。为定义用户的正常行为就必须为该用户建立并维护一系列的行为轮廓配置,这些配置描述了用户正常使用系统的行为特征。IDS可以利用这些配置来监控当前用户活动并与以前的用户活动进行比较,当一个用户的当前活动与以往活动的差别超出了轮廓配置各项的门限值时,这个当前活动就被认为是异常的,并且它很可能就是一个入侵行为。
转载地址:http://www.netsp.com.cn/Article/netsafe/others/200607/20060721190041.html