第5章 入侵检测技术.pptVIP

第五章　入侵检测技术 5.1 入侵检测概述 5.2 入侵检测系统分类 5.3 入侵检测系统的分析方式 5.4 入侵检测系统的设置 5.5 入侵检测系统的部署 5.6 入侵检测系统的优点与局限性 本章学习目标 （1）入侵检测的结构 （2）入侵检测系统分类 （3）入侵检测系统分析方式 （4）入侵检测系统的设置与部署 （5）入侵检测系统的优缺点 5.1 入侵检测概述 5.1.1 基本概念 5.1.2 入侵检测系统的结构 5.1.1 基本概念 5.1.2 入侵检测系统的结构 5.2 入侵检测系统分类 5.2.1 基于主机的入侵检测系统 5.2.2 基于网络的入侵检测系统 5.2.3 基于内核的入侵检测系统 5.2.4 两种入侵检测系统的结合运用 5.2.5 分布式的入侵检测系统 5.2.1 基于主机的入侵检测系统 5.2.2 基于网络的入侵检测系统 5.2.3 基于内核的入侵检测系统 5.2.4 两种入侵检测系统的结合运用 5.2.5 分布式的入侵检测系统 5.3 入侵检测系统的分析方式 5.3.1 异常检测技术——基于行为的检测 5.3.2 误用检测技术——基于知识的检测 5.3.3 异常检测技术和误用检测技术的比较 5.3.4 其他入侵检测技术的研究 5.3.1 异常检测技术——基于行为的检测 5.3.2 误用检测技术——基于知识的检测 5.3.3 异常检测技术和误用检测技术的比较 5.3.4 其他入侵检测技术的研究 5.4 入侵检测系统的设置 5.5 入侵检测系统的部署 5.5.1 基于网络入侵检测系统的部署 5.5.2 基于主机入侵检测系统的部署 5.5.3 报警策略 5.5.1 基于网络入侵检测系统的部署 5.5.2 基于主机入侵检测系统的部署 5.5.3 报警策略 5.6 入侵检测系统的优点与局限性 5.6.1 入侵检测系统的优点 5.6.2 入侵检测系统的局限性 5.6.1 入侵检测系统的优点 5.6.2 入侵检测系统的局限性 THANK YOU VERY MUCH ！ 本章到此结束， 谢谢您的光临！ 入侵检测系统在检测到入侵行为时，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。 网络安全需求不同，入侵检测报警也就存在不同的方式。如对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈。 入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方面的安全优势： 可以检测和分析系统事件以及用户的行为。 可以测试系统设置的安全状态。 以系统的安全状态为基础，跟踪任何对系统安全的修改操作。 通过模式识别等技术从通信行为中检测出已知的攻击行为。 可以对网络通信行为进行统计，并进行检测分析。 管理操作系统认证和日志机制并对产生的数据进行分析处理。 在检测到攻击时，通过适当的方式进行适当的报警处理。 通过对分析引擎的配置对网络的安全进行评估和监督。 允许非安全领域的管理人员对重要的安全事件进行有效的处理。 入侵检测系统只能对网络行为进行安全审计，从入侵检测系统的定位可以看出，入侵检测系统存在以下缺陷： （1）入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。 （2）对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。 （3）基于知识的入侵检测系统很难检测到未知的攻击行为，也就是说，检测具有一定的后滞性，而对于已知的报警，一些没有明显特征的攻击行为也很难检测到，或需要付出提高误报警率的代价才能够正确检测。 第5章　入侵检测技术 * 1．入侵行为 入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。 2．入侵检测 入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。因此，入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。 3．入侵检测系统 入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。 入侵检测系统的主要功能有以下几点： 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完