信息安全导论印润远第7章入侵检测课件教学.pptVIP

第7章 入侵检测 7.1 入侵检测原理与技术 7.2 入侵检测的数学模型 7.3 入侵检测的特征分析和协议分析 7.4 入侵检测响应机制 7.5 绕过入侵检测的若干技术 7.6 入侵检测标准化工作 思考题 7.1 入侵检测原理与技术 7.1.1 入侵检测的起源 7.1.2 入侵检测系统的需求特性 7.1.3 入侵检测原理 7.1.4 入侵检测分类 7.1.5 入侵检测现状 7.1.1 入侵检测的起源 入侵检测的概念最早由Anderson在1980年提出，它提出了入侵检测系统的3种分类方法。Denning对Anderson的工作进行了扩展，它详细探讨了基于异常和误用检测方法的优缺点，于1987年提出了一种通用的入侵检测模型。 1. IDES原型系统 2. IDES原型系统的组成 (1) 异常检测器 异常检测器采用统计技术刻画异常行为，异常检测器对行为的渐变是自适应的。 (2)专家系统 专家系统采用基于规则的方法检测已知的危害行为。专家系统的引入能有效防止逐步改变的入侵行为，提高准确率。 3．IDS的诞生 1980年，Anderson在报告“Computer Security Threat Monitoring and Surveillance”中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供