用户历史行为 用户当前行为 入侵检测 检 入侵 断开记录 恢复 有三种主要部件: (1)事件产生器: Event generator (2)活动记录器: Activity Profile (3)规则集: Rule set 3.IDS分类 (1)基于主机IDS和基于网络IDS(最常用) (2)按功能分类 ①扫描器:事前的IDs,对系统威胁进行定期评估 原理:通过比较已知的弱点数据库数据与系统配置的 数据,探测系统或网络中的缺陷 ②系统IDS:针对一个系统的信息资源来检测攻击 原理:主要检查系统日志,不考虑数据包 不足:收集数据困难,各个节点的协调,系统开销大 ③网络IDS:视网络传输中和系统事件来对付攻击有三种主要部件： （1） 事件产生器：Event Generator （2） 活动记录器：Activity Profile （3） 规则集：Rule Set 3. IDS 分类 （1） 基于主机 IDS 和基于网络 IDS（最常用） （2） 按功能分类 ① 扫描器：事前的 IDS，对系统威胁进行定期评估 原理：通过比较已知的弱点数据库数据与系统配置的 数据，探测系统或网络中的缺陷 ② 系统 IDS：针对一个系统的信息资源来检测攻击 原理：主要检查系统日志，不考虑数据包 不足：收集数据困难，各个节点的协调，系统开销大 ③ 网络 IDS：视网络传输中和系统事件来对付攻击 用户历史行为 用户当前行为 入侵检测 断开 记录 恢复 检测 入侵 Y N