基于系统调用的实时IDS方案

给出一种基于进程系统调用的实时IDS方案.该方案选择网络服务进程(特权进程)作为系统的代表进行监测,使用隐马尔可夫模型(HMM)对系统行为进行模拟和测试,使用实时P(O|λ)值和近期对“某些重要文件”的读、写频率这两个条件作为判断系统是否遭受入侵的标准.实验和分析表明,该方案有较高的预报准确率和较小的时间开销.

IDS解决方案

金诺网安入侵检测系统KIDS是由网络探测器(NIDS)、主机探测器(HIDS)和管理控制台组成的分布式系统。网络探测器从网络数据包中发现入侵的痕迹,主机探测器对主机系统的系统活动事件、日志信息进行分析,发现可疑行为。管理控制台对所有的探测器进行统一的集中式管理和监控。系统管理员可以通过一台管理控制台实施对全网的安全监控和管理。