(一)入侵检测系统模块
功能模块 | 说明 | |
1 | 数据采集模块 | 为入侵分析引擎模块提供分析用数据,包括系统审计日志、应用程序运行日志和网络数据包等 |
2 | 入侵分析引擎模块(核心模块) | 依据辅助模块提供的信息(如攻击模式),根据一定算法对收集到的数据进行分析,判断是否有入侵行为出现,并产生入侵报警 |
3 | 管理配置模块 | 为其他模块提供配置服务,是IDS系统模块与用户的接口 |
4 | 应急处理模块 | 发生入侵后,提供紧急响应服务,如关闭网络服务、中断网络连接、启动备份系统等 |
5 | 辅助模块 | 协助入侵分析引擎模块工作,为其提供相应信息,如攻击特征库、漏洞信息等 |
(二)IDS分类
根据IDS检测数据来源和安全作用范围分类
分类 | 简写 | 作用 | |
1 | 基于主机的入侵检测系统 | HIDS | 分析主机信息 |
2 | 基于网络的入侵检测系统 | NIDS | 网络通信数据包的攻击特征扫描或异常建模 |
3 | 分布式入侵检测系统 | DIDS | 从多台主机、多个网段采集检测数据,或收集单个IDS报警信息,综合分析 |