网络入侵检测技术要点.pptVIP

安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 1、什么是入侵检测 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 2、入侵检测系统的基本结构 IDS通常包括以下功能部件 事件产生器 事件分析器 事件数据库 响应单元 1）事件产生器 负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其它部分提供此事件。 入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 收集内容包括：日志文件、网络流量、文件异常变化、程序执行中的异常行为、系统、网络数据及用户活动的状态和行为。 安徽新华电脑专修学院 2）事件分析器 接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为警告信息。 分析方法 模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。 统计分析：首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计