根据原始数据来源,入侵检测系统可分为基于( )入侵检测系统、基于网络入侵检测系统和基于应用入侵检测系统。
本题考查是入侵检测系统概念。根据美国国际计算机安全协会(ICSA)定义,入侵检测是通过对计算机网络或计算机系统中若干关键点搜集信息并分析,从中发现网络或系统中是否有违反安全策略行为和遭到袭击迹象一种安全技术。根据原始数据来源,入侵检测系统可分为基于主机入侵检测系统、基于网络入侵检测系统和基于应用入侵检测系统。基于主机入侵检测系统主要用于保护运行关键应用服务器,它通过监视与分析主机审计记录和日志文件来检测入侵。基于网络入侵检测系统主要用于实时监控网络关键路径信息,它侦听网络上所有分组,采集数据,分析可疑现象。基于应用入侵检测系统可以说是基于主机入侵检测系统一个特殊子集,也可以说是基于主机入侵检测系统实现进一步细化,所以其特性、优缺点与基于主机入侵检测系统基本相同,其主要特征是使用监控传感器在应用层收集信息。
