第5章入侵检测浅析.pptVIP

第五章　入侵检测技术 ;本章学习目标;5.1 入侵检测概述 ;5.1.1 基本概念 ;3．入侵检测系统 入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。 入侵检测系统的主要功能有以下几点： 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为。 对操作系统进行日志管理，并识别违反安全策略的用户活动。 ;5.1.2 入侵检测系统的结构 ;5.2 入侵检测系统分类 ;5.2.1 基于主机的入侵检测系统 ; 2．主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。 主机文件检测的检测对象主要包括以下几种： （1）系统日志。 （2）文件系统。 （3）进程记录。 ;基于主机的入侵检测系统具有以下优点： 检测准确度较高。 可以检测到没有明显行为特征的入侵。 能够对不同的操作系统进行有针对性的检测。 成本较低。 不会因网络流量影响性能。 适于加密和交换环境。 基于主机的入侵检测系统具有以下不足： 实时性较差。 无法检测数据包的全部。 检测效果取决于日志系统。 占用主机资源。 隐蔽性较差。 如果入侵者能够修改校验和