1、2022-8-812022-8-82 图例 策略(Policy)保护(Protection)检测(Detection)响应(Response)2022-8-832022-8-842022-8-852022-8-862022-8-872022-8-882022-8-89 主体 对象 规则处理引擎 审计记录 动作轮廓 异常记录 动作规则 2022-8-810 事件产生器(E 盒)响应单元(R 盒)事件分析器(A 盒)事件数据库(D 盒)2022-8-8112022-8-8122022-8-8132022-8-814HIDSHIDSHIDSHIDS2022-8-815HUBIDS SensorMon
2、itored Servers2022-8-8162022-8-8172022-8-818分布式入侵检测系统分布式入侵检测系统Agentmanager2022-8-819主机主机主机主机流量流量分析器分析器流量流量分析器分析器主机代理主机代理管理器管理器AgentAgent主机代理主机代理网络代理网络代理管理器管理器2022-8-8202022-8-8212022-8-8222022-8-8232022-8-8242022-8-8252022-8-8262022-8-8272022-8-8282022-8-8292022-8-8302022-8-8312022-8-8322022-8-833统计
3、计算分析统计计算分析:将用户行为模型化,检查它们与正常将用户行为模型化,检查它们与正常用户模型的偏差用户模型的偏差.正常正常操作操作行为行为异常行为异常行为2022-8-8342022-8-8352022-8-836W4 W1 W2 wx x1 fn fn-1 f3 f2 f1。x2 x3 xn-1 xn w1 w3 wn-1 wn W1 2022-8-8372022-8-8382022-8-8392022-8-8402022-8-8412022-8-842 规则文件 数据包捕捉模块 解码器 预处理器 分析引擎 输出插件 分析插件 各种输出形式 网络 2022-8-8432022-8-8442
4、022-8-8452022-8-8462022-8-8472022-8-8482022-8-8492022-8-850alert tcp any any-192.168.1.0/24 111 (content:”|000186a5|”;msg:”mounted access”)2022-8-8512022-8-8522022-8-8532022-8-854Log !192.168.1.0/24 any 192.168.1.0/24 23#记录所有非本网的记录所有非本网的telnet 包包Log udp any any-192.168.1.0/24 1:1024 2022-8-8552022-8-8562022-8-8572022-8-8582022-8-8592022-8-8602022-8-8612022-8-8622022-8-863
