第7章(IDS)概论.pptVIP

7.5入侵检测系统概述 防火墙的缺陷怎么办？ 防火墙就像一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，不能阻止内部的破坏分子；访问控制系统可以阻止低级权限的用户做越权工作，但无法保证高级权限的用户做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 安全的必要手段之一：入侵检测系统 7.5 入侵检测系统概述 入侵检测（Intrusion Detection），是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS（Intrusion Detection System）。 入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 IDS系统 IDS系统（实时入侵检测) 优点 对重要服务的攻击企图能及时发现 能进行系统受攻击程度的量化 对攻击进行一定的取证 弥补防火墙的不足 缺点 一般无法防止未知的攻击 不正确的使用等于无用 误报和漏报 入侵检测系统的主要功能 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动