报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采用入侵检测技术,最好采用混合入侵检测,需要从两方面来着手基于网络的入侵检测和基于主机的入侵检测。(1)我校园网分为多个网段,基于网络的入
f侵检测一般只针对它直接连接网段的通信,不检测在不同网段的网络包,因此,在校园网比较重要的网段中放置基于网络的入侵检测产品。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合,则入侵检测系统就会发出警报或者直接切断网络的连接。(2)在重要的主机上(例如www服务器,email服务器,文件服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日至进行只能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。基于主机入侵的系统除了可以指出入侵者试图执行一些