2023年7月8日发(作者：)

龙源期刊网

浅析入侵检测系统的分类

作者：谢杨洋

来源：《硅谷》2010年第23期

摘要：入侵检测技术就是对这些入侵行为的检测。它主要是通过收集和分析网络行为、安全日志、审计数据等安全信息，检查计算机系统或网络中是否存在违反安全策略的行为和被攻击的迹象。主要按原始数据和检测方法对入侵检测系统的分类进行研究。

关键词：入侵检测系统；原始数据；检测方法

中图分类号：TP3文献标识码：A 文章编号：1671-7597(2-01

1、概 述

入侵检测系统(Intrusion Detection System，IDS)就是执行入侵检测的软件与硬件的组合，它是可以在一个计算机系统或网络上实现入侵检测、报警、响应和防范的系统。1987年，Denning首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。

2、入侵检测系统按原始数据的来源分类

2.1 基于主机的入侵检测系统。基于主机的入侵检测系统是对主机上的系统、事件、安全记录进行监测，当有发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看其是否匹配。如果匹配，系统就会用户报警，以采取措施。融入其他技术使之自动化程度大大提高后的基于主机的IDS，提高了轮询间隔的频率，是精密的可迅速做出响应的检测系统。

2.2 基于网络的入侵检测系统。基于网络的入侵检测系统使用截获的网络数据包作为入侵检测源数据，通过模式，字节或表达式匹配；低级事件的相关性，完整性分析等技术来分析网络通信业务产生的数据报文。这种方法消耗较少的主机资源，却能够提供对网络通用的保护同时对计算机主机架构依赖性也较小。基于网络的IDS中最为重要的应用例子是基于Snort的入侵检测系统。Snort系统是一个以开放源代码形式开发的网络入侵检测系统，它不仅可作为一个网络入侵检测系统，还可作为网络数据包分析器和记录器来使用。Snort采用基于规则的