1.完整的安全策略应该包括实时的检测和响应
2.入侵检测的定义:是指对计算机网络或计算机系统的若干关键点进行信息收集并对其进行分析,
如审计记录、安全日志、用户行为与网络数据包等,以便发现计算机或网络系统中是否勋在违反安全策略的行为或遭到攻击的迹象。
3.一个成功的入侵检测系统至少要满足5个主要功能要求
实时性要求
可扩展性要求
适应性要求
安全性与可用性要求
有效性要求
4.根据信息的来源进行划分:
基于主机的入侵检测系统
基于网络的入侵检测系统
分布式入侵检测系统
5.入侵检测的三步:数据提取->数据分析->事件响应
6.入侵检测系统的功能:
监视网络上的通信数据流
捕获可疑的网络活动
提供安全审计报告
7.入侵检测的技术模型
事件产生器->行为特征模块->规则模块
课后习题:
