第14章入侵检测技术.ppt

第14章 入侵检测技术 对付网络入侵，只有防火墙是不够的。防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。这就需要一种新的技术—入侵检测技术。入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。 14.1 入侵检测系统概述 入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应已知进攻的活动模式并向相关人士报警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪管理，识别用户违反安全策略的行为。 入侵检测系统有两个指标。一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率；二是误报率，指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。 14.2 入侵检测系统结构 14.2.1 入侵检测系统的CIDF模型 IETF的入侵检测系统模型 Denning的通用入侵检测系统模型 14.3 入侵检测系统类型 14.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。同时，针对不同的数据类型，所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 1.基于主机的(H