» 第二章  智慧园区的技术实现




               测系统主要功能有：
                   ①监测并分析用户和系统的活动；
                   ②核查系统配置与漏洞；
                   ③识别已知的攻击行为并报警；

                   ④统计并分析异常行为；
                   ⑤对操作系统进行日志管理，并识别违反安全策略的用户活动。
                   3. 入侵检测系统的分类
                   入侵检测系统有多种分类标准。常见的分类方式有两种：一是按照数据来源可分

               为基于主机的入侵检测系统和基于网络的入侵检测系统；二是按照采用的分析方法可
               分为基于异常检测技术的入侵系统和基于误用检测技术的入侵检测系统。
                   （1）基于主机的入侵检测系统（HIDS）
                   其检测对象是主机系统和本地用户。检测原理是在每一个需要保护的主机上运行

               一个代理程序，根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行
               在被检测的主机，从而实现监控。
                   （2）基于网络的入侵检测系统（NIDS）

                   基于网络的入侵检测系统是通过监听网络中的分组数据包来获得分析攻击的数据
               源，分析可疑现象。它通常使用报文的模式匹配或模式匹配序列来定义规则，检测时
               将监听到的报文与规则进行比较，根据比较的结果来判断是否有非正常的网络行为。
                   基于主机和基于网络的检测系统各有其自身的优点和缺陷，有些能力是不能互相
               替代的。在实际应用中通常是综合利用两种类型的数据源以取长补短。

                   4. 入侵检测系统的发展趋势
                   下一代入侵检测系统不仅要使入侵检测技术能适应高速网络要求，而且还要求在
               传输数据包在实时性、扩展性、安全性以及适用性、有效性等方面应有较大改进与提高。

               下一代的入侵检测系统主要朝集成化、协同处理和分布式方向发展。
                   （1）集成化
                   针对 H1DS 和 NIDS 各有利弊的特点，下一代入侵检测系统应是这两者的有机结
               合。由于基于主机的 IDS 能适应交换环境，能允许用户自主配置，可处理加密数据包。

               而基于网络的 IDS 能对包的字段位和负载进行分析，可检测出各种基于 TCP/IP 协议
               的攻击方式。下一代入侵检测系统中，应将两者有机结合，提供集成化的攻击签名、
               检测、报告和事件关联功能。
                   （2）协同处理

                   下一代的 IDS 必须具有协同机制，让入侵检测充分考虑攻击行为的特征和网络安
               全的整体性与动态性，以提高检测能力和网络系统的整体防护功能。协同的两个方面


                                                                                            83