选择合适的入侵检测系统.PPT

* * * * * * * 入侵检测概述 * 网络IDS研究 1990年出现的NSM（Network Security Monitor，网络安全监视器），是UCD（Carlifornia大学的Davis分校）设计的面向局域网的IDS。 1994年，美国空军密码支持中心的一群研究人员创建了一个健壮的网络入侵检测系统ASIM，第一个采用自动代理结构的入侵检测系统。 1996年，UCD的Computer Security实验室，以开发广域网上的入侵检测系统为目的，开发了基于图形的入侵检测系统GrIDS。 1997年，Cisco公司兼并了Wheelgroup，并开始将网络入侵检测整合到Cisco路由器中。 从1996年到1999年，SRI开始EMERALD的研究，它是NIDES的后继者。 入侵检测概述 * 主机和网络IDS的集成 分布式入侵检测系统（DIDS）最早试图把基于主机的方法和网络监视方法集成在一起。 DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 DIDS主管 安全管理员 用户界面 专家系统 通信管理器 主机代理 LAN代理 主机事件 发生器 LAN事件 发生器 主机监视器 LAN监视器 入侵检测概述 * 入侵检测的发展 在入侵检测技术发展早期阶段，入侵检测还没有获得计算机用户的足够注意 早期入侵检测系统几乎都是基于主机的 现在最流行的商业入侵检测系统大多是网络型 未来的发展趋势是混合型及分布式系统 入侵检测概述 * 小结 为什么需要入侵检测系统 怎样实施入侵检测 入侵检测系统发展历程 * * * * 仿真实现 提交论文+源代码+可执行的程序及少量测试数据 * 1．实验项目名称1：入侵攻击实验（上网搜索并下载一些攻击类工具，为以后进行实验时建立攻击环境打下基础。可以分组分别实现不同类的攻击:漏洞扫描、口令破解、拒绝服务攻击、缓冲区溢出攻击、SQL Injection攻击等等。） 2．实验项目名称2：模式匹配算法实验 3．实验项目名称3：获取Linux系统的审计数据 4．实验项目名称4：网络数据包的捕获及协议的简单分析 5．实验项目名称5：Snort的安装、配置和使用 6．实验项目名称6：仿真实现期中考查时报告的论文算法 * * * * * * * * * 同结合访问控制和入侵检测技术的信息安全产品相比较 * * * * * * * * * * * * * * 入侵检测概述 * 第1章 入侵检测概述 曹元大主编，人民邮电出版社，2007年 入侵检测概述 * 第1章 入侵检测概述 概述: 课程介绍 为什么需要入侵检测系统 怎样实施入侵检测 入侵检测发展历程 入侵检测概述 * 课程介绍 专业选修课 总课时 64(48+16) 成绩比例 期末考试 40% 课程实验 20% 平时成绩一（平时作业与期中考查）占30% 平时成绩二（到课情况、课堂讨论）占10% 入侵检测概述 * 课程介绍 平时作业 期中考查 检索近几年国内外在入侵检测的文章，选取其中一篇文章的主要内容做较详细的介绍 用自己的语言介绍原文的思路和结果 仿真实现 提交论文+源代码+可执行的程序及少量测试数据 入侵检测概述 * 课程介绍 课程实验 四个实验 入侵攻击实验 模式匹配算法实验 获取Linux系统的审计数据 网络数据包的捕获及协议的简单分析 Snort的安装、配置与使用 仿真实现期中考查时报告的论文算法 实验要求 理解实验原理 现场演示实验结果 提交实验报告 入侵检测概述 * 本课程与相关课程的关系 入侵检测系统 网络安全原理 防火墙技术 系统安全 人工智能 计算机网络 数据挖掘 … 入侵检测概述 * 课程体系 入侵检测的相关基础知识； 常见的入侵方法与手段； 入侵检测系统的相关知识； 入侵检测的基本流程 基于主机和网络的入侵检测技术 入侵检测系统的标准与评估 Snort 入侵检测的发展趋势 入侵检测概述 * 为什么需要入侵检测系统 黑客的产生严重威胁了信息的安全 黑客防范技术应运而生 采用入侵检测系统的必要性（什么是入侵检测系统，入侵检测系统的作用与优点） 入侵检测概述 * 黑客的产生严重威胁了信息的安全 黑客包括Hacker、Cracker及误操作人员 Hacker指那些反传统精神的程序员，他们遵守黑客行为准则，不进行恶意破坏 Cracker指那些具有不良企图、强行闯入他人系统或以某种恶意目的干扰他人系统，运用自己的知识去做出有损他人权益事情的人 误操作人员的行为可能产生入侵和异常行为 入侵检测概述 * 黑客的产生严重威胁了信息的安全 同学们所了解的黑客事件有哪些？ 2011年最受关注的国外十大黑客事件 黑客们对计算机系统进行攻击手段的不断提高，推动了信息