网络安全技术项目引导教程 鲁立 08.pptVIP

项目8 入侵检测系统 学习要点 ? 入侵检测系统模型、工作过程。 ? 入侵检测系统分类和工作原理。 ? 基于主机的入侵检测系统和基于网络的入侵检测系统部署。 ? 入侵防护系统相关概念。 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 8.1 入侵检测概述 8.1.1 入侵检测的概念及功能 在网络安全技术中，入侵是指进入计算机系统对系统资源进行非授权访问和使用的行为，监控入侵行为称为入侵检测。入侵检测技术是为保护系统资源不被泄露、篡改和破坏而设计的一种网络安全防御技术。 一个完善的入侵检测系统应该具备以下的功能。 ???能实时监测分析用户、主机系统的行为活动。 ???能审计系统配置的弱点，评估关键系统资源与重要数据的完整性。 ???能检测识别已知进攻行为，自动发送警报，自动采取相应防御措施。 ???能审计、跟踪、管理主机系统，统计、分析异常行为活动，记录事件日志。 8.1.2 入侵检测系统模型 CIDF阐述了一个IDS的通用模型，它将入侵检测系统需要分析的数据统称为事件，以下为模型组件及功能。 ???事件产生器：事件检测器，获得事件并向系统其他部分提供事件。 ???事件分析器：分析获得的事件，产生分析结果。 ???响应单元：对分析结果做出反应。 ???事件数据库：存储各种中间和最终事件