互联网安全|入侵检测技术的有效应用在计算机网络安全维护( 二 )_冠状病毒

二、如何有效应用入侵检测技术

1.基于网络的入侵检测
⑴入侵检测的体系结构。网络入侵检测的体系结构通常由三部分组成，分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视，找出攻击信息并把相关的数据发送至管理器；Console的主要作用是负责收集代理处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理器：Manager的主要作用则是响应配置攻击警告信息，控制台所发布的命令也由Manager来执行，再把代理所发出的攻击警告发送至控制台。

⑵入侵检测的工作模式。基于网络的入侵检测，要在每个网段中部署多个入侵检测代理，按照网络结构的不同，其代理的连接形式也各不相同。如果网段的连接方式为总线式的集线器，则把代理与集线器中的某个端口相连接即可；如果为交换式以太网交换机，因为交换机无法共享媒介，因此只采用一个代理对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中，将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口，于是就可以获取几乎全部的关键数据。

⑶攻击响应及升级攻击特征库、自定义攻击特征。如果入侵检测系统检测出恶意攻击信息，其响应方式有多种。网络管理员可以按照单位的资源状况及其应用状况，以入侵检测系统特征库为基础来自定义攻击特征，从而对单位的特定资源与应用进行保护。

2.对于主机的入侵检测
【互联网安全|入侵检测技术的有效应用在计算机网络安全维护】通常对主机的入侵检测会设置在被重点检测的主机上，从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发现可疑情况，则入侵检测系统就会有针对性的采用措施。