信息系统安全总结(6-5).ppt

与路由模式相同，IP 数据包同样经过相关的过滤检查，但IP数据包中的源或目的地址不变，内部网络用户依旧受到防火墙的保护。 目前已有厂商研制出独特的自适应技术，可以自动配置防火墙使其工作在路由模式或者透明模式下，甚至可以同时启用这两种工作模式，而不需要用户手工配置，无需工作模式切换。 在介绍入侵检测系统前先来了解一些背景知识 网络入侵(hacking)通常是指具有熟练地编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行为。早先对计算机的非授权访问称为破解(cracking),而hacking则指那些熟练运用计算机的高手对计算机技术的运用。而随着时间的推移,媒体宣传导致了hacking变成了入侵的含义。 IDS分类：基于主机，网络，应用，内核。 * 异常检测是通过采集和统计来发现网络或系统中可能出现的异常行为，向管理员提出警告。 主要前提条件是入侵活动是异常活动的子集，理想的情况是异常活动集与入侵活动集相等。 关键在于建立用户及系统正常行为模型,检测实际活动以判断是否背离正常的行为模型。 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 特征检测是指通过按预先定义好的入侵模式以及观察到的入侵发生情况进行模式匹配来检测。 * 系统的共享为用户带来了许多方便，但很多病毒会通过共享