网络安全第8章网络入侵检测IDS摘要.ppt

第8章 网络入侵检测IDS 1 IDS概述 1.1 IDS概念 1.2 IDS功能 1.3 IDS特点 1.4 IDS基本结构 1.1 IDS概念 一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。 加载入侵检测技术的系统我们称之为入侵检测系统（IDS，Intrusion Detection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。 IDS意义 源于信息审计，优于信息审计，信息安全审计的核心技术 主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击 作为与防火墙配合的防护手段（如下图） 1.2 IDS功能 监控、分析用户和系统活动 实现入侵检测任务的前提条件 发现入侵企图或异常现象 入侵检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。 记录、报警和响应 入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此