2-入侵检测剖析.ppt

入侵检测技术 Intrusion Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion. 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System 入侵检测的特点 一个完善的入侵检测系统的特点： 经济性 时效性 安全性 可扩展性 网络安全工具的特点 入侵检测的起源（1） 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标： 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 入侵检测的起源（2） 计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分 “褐皮书”《理解可信系统中的审计指南》 入