[第5章安全防护与入侵检测.pptVIP

3. DNS 图5-14 DNS命令的面板 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 4. Finger 图5-15 Finger命令的面板 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5. Whois 图5-16 Whois命令的面板 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6. 添加工具 图5-17 添加“工具”命令的面板 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.2.1　入侵检测的概念与原理 1.入侵检测的基本原理 2.入侵检测系统的分类 3.入侵检测系统的发展方向 5.2　入侵检测系统 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 1.入侵检测系统的作用 我们知道，防火墙是Internet网络上最有效的安全保护屏障，防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作用，是网络安全的第一道闸门。但防火墙的功能也有局限性，防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。 同时，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为做出相应的反应，及时切断入侵源，保护现场并通过各种途径通知网络管理员，增大保障系统安全。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 2.入侵检测系统的工作流程 入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。 (1) 数据收集 入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数据。入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。 (2)数据提取 从收集到的数据中提取有用的数据，以供数据分析之用。 (3)数据分析 对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。 (4)结果处理 记录入侵事件，同时采取报警、中断连接等措施。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 入侵检测系统的分类 入侵检测系统(IDS)可以分成3类：基于主机型(Host Based) 入侵检测系统、基于网络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统 基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计