基于snort的入侵检测系统的研究(10)

3.1.2 入侵检测系统工作流程

入侵检测系统是一个典型的“窥探设备”，它不跨接多个物理网段（通常只有一个监听端口），无需转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文入侵检测系统提取相应的流量，统计特征值，并利用内置的入侵知识库与这些流量特征进行智能分析、比较匹配。根据预设的闭值，匹配耦合度较高的报文流量将被认为是入侵行为，系统将进行报警或有限度的反击，入侵检测的工作流程主要有以下四步：

（1）信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为，而且需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息。

（2）信息分析

信息分析是指对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过模式匹配、统计分析和完整性分析三种技术手段进行分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

（3） 信息存储

当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进行查看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存，这些信息通常存储到用户指定的日志文件中，同时存储的信息也为攻击保留了数字证据。

（4） 攻击响应

对攻击信息进行了分析并确定攻击的类型后，入侵检测系统会根据用户的设置，对攻击行为进行相应的处理：如发出警报、给系统管理员发邮件等方式提醒用户，或者利用自动装置直接进行处理。如切断连接，过滤攻击者的 IP 地址等，从而使系统能够较早的避开或阻断攻击。

3.1.3 入侵检测系统体系结构

当前，在网络环境中主要存在以下三种入侵检测体系结构:

（1） 基于主机的入侵检测系统(HIDS)

基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机的其他信息，例如文件系统属性、进程状态、CPU 和内存的使用情况等，在此基础上完成检测攻击行为的任务。从技术发展的历程来看，入侵检测是从主机审计的基础上开始发展的，因而早期的入侵检测系统都是基于主机的入侵检测技术。其有很多缺点:首先，由于它严重依赖于特定的操作系统平台，所以，对不同的平台系统而言，它是无法移植的。其次，它在所保护主机下运行，将影响到宿主机的运行性能，特别是当宿主机是服务器的情况。另外，它通常无法对网络环境下发生的大量攻击行为做出及时的反应。

（2） 基于网络的入侵检测系统(NIDS)

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高等教育基于snort的入侵检测系统的研究(10)全文阅读和word下载服务。