系统模型包括三个功能部件： 
     1．提供事件记录流的信息源 
     2．发现入侵迹象的分析引擎 
     3．基于分析引擎的分析结果产生反映的响应部件 
     目前的IDS作为只能是网络安全整体解决方案的一个重要部分，需要与其他安全设备之间进行紧密的联系，共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足，但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来，才能共同解决网络的安全问题，这就对引入协同提出了要求。 
     数据采集协同 
     入侵检测需要采集动态数据（网络数据包）和静态数据（日志文件等）。基于网络的IDS，仅在网络层通过原始的IP包进行检测，已不能满足日益增长的安全需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。 
     目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，即使是综合基于网络和基于主机的IDS也不例外，没有在这两类原始数据的相关性上作考虑。此外，在网络数据包的采集上，IDS一直是通过嗅探这种被动方式来获取数据，一旦某个数据包丢了就无法挽回。而且，将来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对网络数据包这种动态数据的采集就显得更加困难了。因此，在数据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件。 
     数据分析协同 
     入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据以 发现更为复杂的入侵行为。 传统数据挖掘技术的检测模型是离线产生的，就像完整性检测技术一样，这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据，十分耗时。但是，有效的IDS必须是实时的。而且，基于数据挖掘的IDS仅仅在检测率方面高于传统方法的检测率是不够的，只有误报率也在一个可接受的范围内时，才是可用的。 
     
     
     响应协同 
     前面已经论述，由于IDS在网络中的位

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >> 

“浅谈计算机网络安全现状及相关技术毕业论文”版权归作者所有，转载请著名出处。