第三章基于行为检测的信任度评估技术

第一节网络行为检测技术

3.1.3入侵检测系统的分类

根据分类的角度不同，人侵检测系统可以有不同的分类方法，大致有下面几种，如图3.2所示。

图3. 2 入侵检测系统分类

1.按照分析信息的来源分类

这种分类方法主要依据分析数据收集的来源，将人侵检测系统分为以下两种。

1)基于网络的人侵检测系统

基于网络的人侵检测系统的数据源是网络上的数据包。一般来说.基于网络的人侵检测系统担负着保护整个网段的任务.需要获取和分析网络上传输的所有数据包。可以将某台主机的网卡设于混杂模式(promiscuous mode)，获取和分析网段内的所有数据包;或直接在路由或交换设备上放置人侵检测模块。

与基于主机的人侵检测系统相比.基于网络的人侵检测系统的最大优点是容易部署，不需要在受保护的机器上安全检测软件，不占用被保护设备的任何资源。另外，它还有隐蔽性好、检测速度快、视野宽广等优势。不过，它也有弱点，其一是它容易发出误警消息;其二是它容易受到网络流量大小的影响，当网络流量足够大时，口f能出现丢包现象。

2)基于主机的人侵检测系统

基于主机的人侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过收集主机的其他信息(如系统调用、登录尝试、文件访问与权限变化等)进行分析。基于主机的人侵检测系统保护的对象就是所在的主机。

与基于网络的人侵检测系统相比，基于主机的人侵检测系统的主要优势是它可以更精确地判断人侵事件，误警率比较低;并且不受网络流量大小的影响。不过，其缺点也显而易见，首先，它需要占用被保护主机的资源;其次，它不能检测到一些网络层的攻击。

2.按照分析方法分类

这是比较传统的分类方法，把人侵检测模型大体上分为误用人侵检测模型(misusedetection model)和异常人侵检测模型(anomaly detection model)两种，如图3. 3所示。

图 3. 3 按照分析方法划分的入侵检测模型

3.按照分析技术的时效性(工作方式)分类

依照分析技术的时效性(工作方式)，可以把人侵检测系统分为以下两类。

(1)实时人侵检测(在线人侵检测):实时联机的检测系统.它包含对实时网络数据包分析和对实时主机审计分析。

(2)脱机人侵检测(离线人侵检测):在事后分析审计事件.从中检查人侵活动，是一种非实时工作的系统。

4.按照系统的控制策略分类

按照系统的控制策略和各个模块运行的分布方式不同，可以将人侵检测系统分为以下两种。

(1)集中式人侵检测系统:检测系统的各个模块(数据收集、分析和响应)的运行都集中在一台计算机上运行，适合比较简单的网络环境。

(2)分布式人侵检测系统:检测系统的各个模块分布在多台计算机或设备上运行，可以有多个数据采集器和分析器一般使用层次结构组织。

5.按照响应方式分类

按照检测到报警后系统的响应方式不同，可以将人侵检测系统分为以下两种。

(1)主动响应人侵检测系统:检测到报警后自动采取响应行为，包括收集辅助信息.改变环境以堵住导致人侵发生的漏洞，对攻击者采取行动等。

(2)被动响应人侵检测系统:采用报警、通知、报告和存档等方式将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。

第三章 基于行为检测的信任度评估技术

第一节 网络行为检测技术

信息管理与网络安全

第三章基于行为检测的信任度评估技术

第一节网络行为检测技术