第8章节入侵检测技术.pptVIP

入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1 入侵检测概述 2 入侵检测原理 3 入侵检测系统的关键技术 4 基于数据挖掘的智能化入侵检测系统设计 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1 入侵检测概述 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测（Intrusion Detection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1、入侵检测的概念：模型 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1、入侵检测的概念：任务 · 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； · 系统构造和弱点的审计，并提示管理员修补漏洞； · 识别反映已知进攻的活动模式并报警，能够实时对 检测到的入侵行为进行反应； · 异常行为模式的统计分析，发现入侵行为的规律； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 使用入侵检测系统有如下优点： ① 检测防护部分阻止不了的入侵； ② 检测入侵的前兆； ③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2、入侵检测的分类 一、什么是入侵检测 根据所采用的技术可以分为： 1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立