第9章 网络安全技术.ppt

* 9.4.1 入侵检测系统概述 入侵检测系统的主要功能 监测、记录并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 管理操作系统日志，识别违反安全策略的用户活动。 */49 * 9.4.1 入侵检测系统概述 入侵检测系统的组成 IDS需要分析的数据称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。 IDS一般包括以下组件 事件产生器(Event generators) 事件分析器(Event analyzers) 响应单元(Response units) 事件数据库(Event databases) */49 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS是网络上的一个监听设备，通过监听网络上传递的报文，按照协议对报文进行分析，并报告网络中可能存在的入侵或非法使用者信息，还能对入侵行为自动地反击。 网络IDS的部署 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS通过旁路技术实时采集网络通信流量 采用总线式的连接方式 交换机的调试端口(Span Port)连接IDS 采用分接器并联IDS 网络IDS承担两种职责 实时监测 安全审计 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS的工作原理：按事件分析方法分类 基于知识的数据模