福利书屋 - 科幻小说 - 血月维度在线阅读 - 第六十三章 难以置信的奇才

第六十三章 难以置信的奇才

措施的网络安全设备,它与其他网络安全设备的不同之处便在于,ids是一种积极主动的安全防护技术。

    它通过实时监视系统,一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机ids和基于网络的ids,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,ids入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。

    对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志,另一种基于异常情况。

    对于基于标志的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。

    而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如cpu利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

    两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以判别更广范、甚至未发觉的攻击。

    当然,''''ids''''也有一个缺点,由