入侵检测与安全审计系统(ppt46页)分析.ppt

电子科技大学成都学院 第六章 入侵检测与安全审计系统 6.1 入侵检测系统 6.2 安全审计系统 6.1 入侵检测系统 6.1.1 入侵检测系统的概念 入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。 入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统——Intrusion Detection System，简称IDS，入侵检测的软件与硬件的组合。 模型 最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图： CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。 事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 作用 是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 是安防系统的重要组成部分。 以后台进程的形式运行，发现可疑情况，立即通知有关人员。 被认为是防火墙之后的第二道安全闸门。 如同大楼的监视系统。 6.1.2 入侵检测系统的特点 不需要人工干预即可不间断的运行 有容错能力