按照不同的分类标准, 入侵检测系统可以进行不同的分类。
根据入侵检测系统对数据的采集方式进行分类, 入侵检测系统可以分为基于网络的入侵检测系统(NIDS)、 基于主机的入侵检测系统(HIDS)。 基于网络的入侵检测系统使用监听的方式, 在网络通信中寻找符合网络入侵规则的数据包, 在这种方式下, 入侵检测设备往往以硬件的方式部署于网络, 独立于被保护的机器之外。 通过入侵数据包的特征进行检测, 可以针对网络层、 传输层和应用层的入侵行为进行全面检测。 基于主机的入侵检测系统运行在主机上, 在主机系统中通过审计日志文件和文件完整性等操作寻找攻击特征, 通常以软件的形式部署于被保护的计算机中。 为了使基于主机的入侵检测系统能完整覆盖受控站点, 需要在每台计算机上都安装入侵检测系统。 主机型入侵检测系统软件被安装于需要监控的系统上。 入侵检测系统软件上的数据源是日志文件或系统审计代理。 主机型入侵检测系统不仅着眼于计算机中通信流量的出入, 还校验用户系统文件的完整性, 并检测可疑程序。
根据检测原理分类, 入侵检测系统可以分为误用检测型入侵检测系统、 异常检测型入侵检测系统。 误用检测型入侵检测系统用于收集攻击行为和非正常操作的行为特征, 建立相关的特征库, 一旦检测到用户的行为与特征库中的行为匹配, 系统就认为这是入侵, 这对于已知攻击类型的检测非常有效, 但是不能检测新型变种的攻击方式。 误用入侵检测的关键在于特征信息库的升级和特征的匹配搜索, 需要不断更新特征库。 异常检测型入侵检测系统会总结正常的操作系统应当具有的特征, 利用统计的方法来检测系统中的异常行为, 当用户活动与正常行为有较大偏差时, 系统就会认为这是入侵。(www.daowen.com)
根据入侵检测系统处理数据的方式, 入侵检测系统可以分为分布式入侵检测系统、 集中式入侵检测系统。 分布式入侵检测系统就是在一些与受监视组件相应的位置对数据进行分析的入侵检测系统; 集中式入侵检测系统就是在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。