第6章入侵检测系统.ppt

第6章 基于网络的入侵检测技术 6.1 分层协议模型与TCP/IP协议簇 OSI参考模型: 模型本身很通用,但与OSI模型相关的协议已经很少用了. TCP/IP协议模型:模型本身不很有用,但协议却广泛使用 TCP/IP网络是采用包交换的网络,分4层:应用层,传输层, 网络层, 链路层 TCP/IP参考模型 在TCP/IP参考模型中，去掉了OSI参考模型中的会话层和表示层（这两层的功能被合并到应用层实现）。同时将OSI参考模型中的数据链路层和物理层合并为主机到网络层。 TCP/IP各层功能 网络接口层：实际上TCP/IP参考模型没有真正描述这一层的实现，只是要求能够提供给其上层-网络互连层一个访问接口，以便在其上传递IP分组。 网络互连层：是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机，网络互连层定义了分组格式和协议，即IP协议 传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种协议：传输控制协议TCP和用户数据报协议UDP 应用层面向不同的网络应用引入了不同的应用层协议 TCP报文格式 数据报文的分层封装 以太网IEEE802.3的帧格式 TCP/IP报文格式 TCP/IP报文格式 TCP/IP报文格式 TCP/IP报文格式 TCP/IP报文格式 TCP/IP报文格式 6.2 网络数据包的捕获 网络数据包捕获机制是网络入侵