信息安全系统工程入侵检测.pptx

一、概述 入侵检测（Intrusion detection） 入侵检测是通过在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种机制。 入侵检测系统（Intrusion Detection System） 进行入侵检测的软件与硬件的组合，它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。 入侵检测系统的预警功能 目前大部分网络攻击在攻击前有资料搜集的过程 例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。 此外某些攻击在初期就可以表现出较为明显的特征 例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。 对于这些攻击，入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报 同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。 IDS的特点 IDS是一种积极主动的防护工具，是对防火墙的合理补充，能帮助系统对付网络攻击，扩展系统管理员的安全管理能力和范围 一般情况下，防火墙为网络安全提供了第一道防线，IDS作为防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，减少网络受到各种