入侵检测系统实训程序.pptx

入侵检测系统实训教程 1 2 入侵检测系统实训教程 定义 入侵检测系统（Intrusion Detection System, IDS）是一种安全设备，它依照一定的安全策略，通过软件、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 IDS是防火墙之后的第二道安全闸门。 必要性 传统的防火墙在工作时，存在两方面的不足： 一、防火墙完全不能阻止来自内部的攻击； 二、由于性能的限制，防火墙通常不能提供主动的、实时的入侵检测能力。 入侵检测系统可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段。 3 入侵检测系统实训教程 功能任务 1. 实时检测 实时监视、分析网络中所有的数据报文； 发现并实时处理所捕获的数据报文； 2.安全审计 对系统记录的网络事件进行统计分析； 发现异常现象； 得出系统的安全状态，找出所需要的证据； 3.主动响应 主动切断连接或与防火墙联动，调用其他程序处理。 4 入侵检测系统实训教程 分类 入侵检测系统基本分为2类： 　　1. 基于主机的入侵检测系统（HIDS）：以操作系统日志、应用程序日志等作为数据源保护所在的系统，一般只能检测该主机上发生的入侵。 　　　　2. 基于网络的入侵检测系统（NIDS） ：其输入数据来源于网络的信息流