IDS 组件和流程
最常见的分类是网络入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。
无论选择哪种 IDS,它们都具有某些共同的组件。对这些组件有一个总体的了解非常重要。以下术语将使您熟悉所有 IDS 中的基本组件和功能:
· 活动是操作员感兴趣的数据源的元素。
· 管理员是负责组织安全的人。
· 传感器是 IDS 组件,用于收集数据并将其传递给分析器进行分析。
· 分析器是分析传感器收集的数据的组件或过程。
· 警报是来自分析仪的消息,指示已发生感兴趣的事件。
· 管理器是IDS的一部分,用于管理控制台等。
· 通知是IDS管理器使操作员意识到警报的过程或方法。
· 操作员是IDS的主要负责人。这通常是管理员。
· 事件是表明可能发生可疑活动的事件。
· 数据源是IDS用于检测可疑活动的原始信息。
除了这些基本组件之外,IDS 还可以根据它们对检测到的异常的响应方式或部署方式进行分类。主动IDS(现在称为IPS(入侵防御系统))将阻止任何被视为恶意的流量。被动 IDS 只是记录活动并可能向管理员发出警报。IPS/主动IDS的问题是可能出现误报。可能存在看似攻击但实际上并非攻击的活动。
还可以根据是监控单台机器还是监控整个网段来定义IDS/IPS。如果是单机,则称为HIDS(基于主机的入侵检测系统)或HIPS(基于主机的入侵防御系统)。如果是一个网段,则称为NIDS(基于网络的入侵检测系统)或NIPS(基于网络的入侵防御系统)。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:入侵检测组件和流程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论