467-第六章 入侵检测技术与密罐技术.pptVIP

第六章 入侵检测技术与密罐技术 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 6.1 网络入侵检测概述? 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统IDS（Intrusion Detection System）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。 1．信息收集? 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。一是要尽可能扩大检测范围，二是因为虽然来自一个源的信息有可能看不出疑点，但来自几个源的信息的不一致性却是可疑行为或入侵的最好标识。 2．信号分析? 6.2 分层协议模型与TCP/IP协议 6.2.1 OSI参考模型 为了减少网络协议在设计上的复杂性，大多数的协议采用了层次模型。每一较低层次的模型都向其高一层的协议提供一定的服务，这些服务的