第七节网络安全设计.pptVIP

7.4.4 入侵检测技术 入侵是指违背访问目标的安全策略的行为。 入侵检测是对企图入侵﹑正在进行入侵或已发生入侵识别的过程。包括信息收集、信息预处理、数据检测分析和响应等。通过收集操作系统、系统程序、应用程序、网络包等信息，发现违背安全策略或危及安全的行为。 非法入侵的方式主要有4种： 扫描端口，通过已知的系统Bug攻入主机； 种植木马，利用木马开辟的后门进入主机； 采用数据溢出手段，迫使主机提供后门进入主机； 利用某些软件设计的漏洞，直接或间接控制主机。 网络工程技术及应用 7.4.4 入侵检测技术 入侵检测系统IDS常用的入侵检测方法有： 特征检测、统计检测与专家系统。 IDS通常设计为两部分：安全服务器和主机代理。 入侵检测的类型通常分为基于主机和基于网络两类： * 基于主机的IDS，早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入； * 基于网络的IDS，在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息。 网络工程技术及应用 7.4.4 入侵检测技术 基于网络的入侵检测系统 从数据分析手段看，入侵检测通常可以分为两类： 误用(Misuse)入侵检测；异常(Anomaly)入侵检测。 网络的入侵检测系统