入侵監(jiān)測及跟蹤系統(tǒng)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計 數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

　　入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

　　因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

　　入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計;識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

　　入侵監(jiān)測及跟蹤系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵;

　　后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

　　這兩種模式的安全策略是*不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報率較高;誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報率較低。

　　但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點和安全要求來制定策略，選擇行為檢測模式。用戶都采取兩種模式相結(jié)合的策略。

　　以上就是入侵監(jiān)測及跟蹤系統(tǒng)的相關(guān)知識點，希望以上的內(nèi)容能夠?qū)Υ蠹矣兴鶐椭?，感謝您的觀看和支持，后期會整理更多資訊給大家，敬請關(guān)注我們的網(wǎng)站更新。