第7章入侵检测技术(论文资料).pptVIP

早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统--基于主机的IDS：利用操作系统的审计作为输入的主要来源。 近期的更多模型则集中用于监控通过网络互连的多个服务器--基于网络的IDS：针对互联在网络上的主机的监视。 u???监视、分析用户及系统活动； u???对系统构造和弱点的审计； u???识别和反应已知进攻的活动模式并向相关人士报警； u???异常行为模式的统计分析； u???评估重要系统和数据文件的完整性； u???操作系统的审计跟踪管理，识别用户违反安全策略的行为。 功能 1.识别黑客常用入侵与攻击手段。 入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。 一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获,向管理员发出警告。 2.监控网络异常通信IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。 3.鉴别对系统漏洞及后门的利用IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。 4.完善网络安全管理IDS通过对攻击或入侵的检