什么是入侵检测?
入侵检测,顾名思义,就是对入侵行为的发现。他收集并分析计算机网络或计算机系统中的一些关键点,找出网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测是对入侵行为的检测。通过收集和分析网络行为、安全日志、审计数据、其他网络上可用的信息以及计算机系统中几个关键点的信息,它可以检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
对于一个成功的入侵检测系统来说,它不仅能使系统管理员及时了解网络系统中的任何变化(包括程序、文件和硬件设备等)。),同时也为网络安全政策的制定提供指导。更重要的是,它应该易于管理和配置,以便非专业人员可以轻松获得网络安全。而且入侵检测的规模也要根据网络威胁、系统结构和安全需求的变化而变化。
基于签名的检测也称为误用检测。这种检测假设入侵者的活动可以用一种模式来表示,系统的目标是检测代理的活动是否符合这些模式。它可以检查现有的入侵方法,但对新的入侵方法却无能为力。难点在于,如何设计一个既能表达“入侵”现象,又不包含正常活动的模式。