入侵检测系统 异常入侵检测是如何检测的

一、入侵检测系统具有哪些主要功能，分哪三类

入侵检测系统主要包含以下功能:监控用户和系统的活动、查找非法用户和合法用户的越权操作、检测系统配置的正确性和安全漏洞、评估关键系统和数据的完整性、识别攻击的活动模式并向网管人员报警、对用户的非正常活动进行统计分析,发现入侵行为的规律、操作系统审计跟踪管理,识别违反政策的用户活动以及检查系统程序和数据的一致性与正确性等等。

功能构成包含:事件提取、入侵分析、入侵响应、远程管理4个部分功能

(1)网络流量的跟踪与分析功能

(2)已知攻击特征的识别功能

(3)异常行为的分析、统计与响应功能

(4)特征库的在线和离线升级功能

(5)数据文件的完整性检查功能

(6)自定义的响应功能

(7)系统漏洞的预报警功能

(8)IDS探测器集中管理功能

二、什么是入侵检测，以及入侵检测的系统结构组成

入侵检测是防火墙的合理补充。入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

三、入侵检测与防火墙的区别

1.所在的位置不同：防火墙是安装在网关上，而NIDS是可以装在局域网内的任何机器上。

2.所在的位置不同：防火墙主要是实现对外部网络和内部网络通讯的访问控制，能对网络进行检测。

3.检测的细粒度不同：防火墙为了实现快速的网络包转换，而网络入侵检测系统则可以对整个网络包进行检查过滤。