入侵检测技术简介..pptVIP

入侵检测系统的部署 对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般是用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是对于基于网络的入侵检测系统来说，根据网络环境的不同，其部署方案也就会有所不同。 入侵检测系统部署方式 检测器部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网 检测器部署示意图 NIDS的位置必须要看到所有数据包 1.2 入侵检测基本模型的建立 1987年, Denning发表了入侵检测领域内的经典论文《入侵检测模型》。这篇文献正式启动了入侵检测领域内的研究工作， 被公认为是IDS领域的又一篇开山之作。 Denning提出的统计分析模型在早期研发的入侵检测专家系统（IDES）中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议，但是，Denning的论文中还包括了其他检测模型。 图1-1 通用入侵检测模型 Denning对入侵检测的基本模型给出了建议，如图1-1所示。 1.3 技术发展的历程 入侵检测技术自20世纪80年代早期提出以来，经过30多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多