入侵檢測(cè)
IETF將入侵檢測(cè)分為四個(gè)組件:事件數(shù)據(jù)庫(kù)(EventDataBases),事件產(chǎn)生器(EventGenerators)���,響應(yīng)單元 (ResponseUnits)和事件分析器(EventAnalyzers)��。事件產(chǎn)生器的作用是從整個(gè)系統(tǒng)環(huán)境中獲得事件�,并向的其他組件提供此事件��。事件分析器分析獲得的數(shù)據(jù)�����,并生成分析結(jié)果���。響應(yīng)單元是對(duì)分析結(jié)果做出處理的功能單元��,它可以進(jìn)行切斷連接��、改變屬性等強(qiáng)烈操作��,也可能只是簡(jiǎn)單報(bào)警���。事件數(shù)據(jù)庫(kù)是存儲(chǔ)中間數(shù)據(jù)和最終數(shù)據(jù)的地方,它可能是復(fù)雜的數(shù)據(jù)倉(cāng)庫(kù)����,也可能是簡(jiǎn)單的文本文件���。
根據(jù)檢測(cè)對(duì)象不同,入侵檢測(cè)可以分為網(wǎng)絡(luò)型和主機(jī)型�����。網(wǎng)絡(luò)型的數(shù)據(jù)源來(lái)自于網(wǎng)絡(luò)數(shù)據(jù)包���。往往將一臺(tái)機(jī)器的網(wǎng)卡設(shè)為混雜模式 (PromiseMode)�����,對(duì)本網(wǎng)段內(nèi)的所有數(shù)據(jù)包進(jìn)行信息收集和判斷����。一般來(lái)說(shuō)�,網(wǎng)絡(luò)型入侵檢測(cè)肩負(fù)著保護(hù)全網(wǎng)段的任務(wù)。主機(jī)型入侵檢測(cè)是以應(yīng)用程序日志�����、系統(tǒng)日志等作為數(shù)據(jù)源���,也可以通過(guò)其他方式(如監(jiān)控系統(tǒng)調(diào)用)從主機(jī)收集信息并進(jìn)行分析�����。主機(jī)型入侵檢測(cè)主要保護(hù)的是本機(jī)系統(tǒng)�,這種系統(tǒng)經(jīng)常運(yùn)行于被監(jiān)測(cè)系統(tǒng)之上���,用來(lái)監(jiān)測(cè)系統(tǒng)內(nèi)正在運(yùn)行進(jìn)程的合法性��。
入侵檢測(cè)系統(tǒng)的核心功能是對(duì)事件進(jìn)行分析���,并從中發(fā)現(xiàn)不符合安全策略的行為。從技術(shù)上���,入侵檢測(cè)分為兩類(lèi):一種是基于標(biāo)志(CSignature—Based)��,另一種是基于異常情況(Abnormally-Based)����。
防火墻
防火墻是建立在信息安全技術(shù)和通信網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的安全技術(shù)�����,越來(lái)越多地被應(yīng)用丁公用網(wǎng)絡(luò)和專(zhuān)用網(wǎng)絡(luò)的環(huán)境之中,尤其廣泛應(yīng)用在Intemet網(wǎng)絡(luò)接入方面����。
防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列安全部件的組合,它是不同網(wǎng)絡(luò)之間信息傳輸?shù)奈ǔ鋈肟����,可以根?jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的數(shù)據(jù)流,且本身具有很強(qiáng)的抗攻擊性����,它是企業(yè)實(shí)現(xiàn)信息和網(wǎng)絡(luò)安的基礎(chǔ)設(shè)施。在邏輯上��,防火墻即是限制器�����、分離器���,也是分析器���,它有效地監(jiān)控了內(nèi)網(wǎng)和公網(wǎng)之間的任何數(shù)據(jù)活動(dòng),為內(nèi)部網(wǎng)絡(luò)安全提供了有效保證���。
作為網(wǎng)絡(luò)安全的屏障�,防火墻能夠極大地提高內(nèi)部網(wǎng)絡(luò)安全性,通過(guò)過(guò)濾不安全的數(shù)據(jù)而降低風(fēng)險(xiǎn)���。由于只有經(jīng)過(guò)精心篩選的應(yīng)用數(shù)據(jù)才能通過(guò)防火墻,網(wǎng)絡(luò)環(huán)境才變得加更安全�。
