第6章入侵检测系统解说.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全技术_第6章 入侵检测系统 Windows 操作系统审计结构 事件日志 用户模式 核心模式 审计策略 审计记录 安全账户库 事件记录器EL 安全参考 监视器 SRM 对象访问 进程跟踪 特权使用 文件系统 审计日志 审计策略库 策略更改 登录事件 账户登录 审计线程 本地安全认证LSA 安全账户 管理SAM 信息安全技术_第6章 入侵检测系统 Windows 操作系统事件日志 Windows事件日志 安全事件日志 操作系统事件日志 应用事件日志 记录用户登录、系统资源使用等与系统安全相关的事件，对用户不开放 记录操作系统组件的事件，对所有用 户开放 记录应用程序产生的事件，对所有用户开放 信息安全技术_第6章 入侵检测系统 网络审计数据 主机审计数据源：操作系统审计记录、系统日志、应用日志和系统调用跟踪; 网络审计数据源指通过网络监听获取的数据; 网络数据是网络入侵检测系统使用的主要审计数据源。 信息安全技术_第6章 入侵检测系统 网络数据协议解析过程 网络连接记录 网络检测模型 工作站 工作站 集线器 服务器 服务器 局域网 通用网关 数据包输