(一)最早的入侵检测模型
由Denning提出,根据主机系统审计记录数据,生成有关系统若干轮廓,并监测轮廓变化差异,发现入侵行为。
(二)通用入侵检测框架模型(CIDF,Common Intrusion Detection Framework)
特点:解决IDS不同组件和不同IDS之间共享信息,具有很强扩展性
事件:待分析的数据(数据包、日志等)
结构 | 说明 | |
1 | 事件产生器 (event generators) | (传感器 / 嗅探器)从整个计算环境中获得事件,并向系统其他部分提供事件 |
2 | 事件分析器 (event analyzers) | (核心)分析所得到数据,产生分析结果 |
3 | 响应单元 (response units) | 对分析结果做出反应,如切断网络、改变文件属性、简单报警等应急响应 |
4 | 事件数据库 (event databases) | 存放中间和最终数据,数据存放形式:复杂数据库或简单文本文件 |