IDS探索新思路入侵监测融合漏洞扫描

目前，大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性，对事件的误

很多文章介绍了如何通过建立，改善，以及分析服务器日记文件的种种方式，监测出来黑客入侵行为，但这些都是过去式，都是在入侵发生后你才知道存在这种行为而加以防范。最好的方法是能够在当场就能监测出

入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志，所以需

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，

五、公布最佳特征“得主” 从以上4个候选对象中，我们可以单独选出一项作为基于报头的特征数据，也可以选出多项组合作为特征数据。 选择一项数据作为特征有很大的局限性。例如一个简单的特征可以是只

第一章 入侵检测系统概念 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成

NIDS通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象。 1.1网络局限 1.1.1交换网络环境 由于共享式HUB可以进行网络监听，将给网络安全带来极大的威胁

1.2 检测方法局限 NIDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。实际中的商用入侵检测系统大都同时采用几种检测方法。 NIDS不能处理加密后的数据，如果数据传输中被加

NIDS相关系统的脆弱性 NIDS本身应当具有相当高的安全性，一般用于监听的网卡都没有IP地址，并且其它网卡不会开放任何端口。但与NIDS相关的系统可能会受到攻击。 1.4.1控制台主机的