保障与安全14入侵检测解析.pptVIP

14 防御 1 入侵检测系统概述 入侵检测（Intrusion Detection System, IDS）就是一种主动安全保护技术。入侵检测像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、监控，从计算机网络的若干关键点收集信息，通过分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 简单地说，入侵检测系统是这样工作的：若有一个计算机系统，它与网络连接着，或许也同Internet连接，由于一些原因，允许网络上的授权用户访问该计算机。例如，有一个连接着Internet的Web服务器，允许一定的客户、员工和一些潜在的客户访问存放在该Web服务器上的Web页面。然而，不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下，可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而，有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者，入侵检测系统也能采取一些措施来拒绝其访问。 入侵检测系统基本上不具有访问控制的能力，它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，确定入侵是否发生