入侵检测的分类.

《入侵检测的分类.》由会员分享，可在线阅读，更多相关《入侵检测的分类.（1页珍藏版）》请在装配图网上搜索。

1、入侵检测的分类：按照数据来源：基于主机： 系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型入侵检测性能关键参数：? 误报 (false positive)：如果系统错误地将异常活动定义为入侵? 漏报 (false negative)：如果系统未能检测出真正的入侵行为选择入侵检测方式：1）基于主机系统代理软件被安装在一台被监控的服务器上，代理软件跟踪记录这台服务器上的非授权访问企图或其它恶意行为。2）基于网络代理软件被安装在局域网网段或防火墙后来监视和分析网络传输流。监视入侵端口：网络上的通讯都是通过端口

2、通讯的，不同的端口作用不同。使用浏览器查看网页，是通过 80 端口，在 IRC 中聊天是通过6667 端口。而类似于NETSPY 等特洛依木马软件，则通过 7306 或者其他端口进行通信，泄露资料。如果用软件监视7306 等相应端口，就可以监视网络黑客的入侵。（例如 NukeNabber软件可设定监视7306 端口，如果有人扫描该端口或试图进入你的7306 端口，就会发出手警告，同时提示攻击者的地址）监视系统线程：由于特洛依木马程序的端口可任意改变，就产生了很多黑客程序变种。此时，要监视所有端口就比较困难。在这种情况下，就需要监视操作系统的线程。也就是说，看看电脑目前有多少端口在通讯。可以用检测软件TCPVIEW来进行线程监视。