计算机网络技术基础工业和信息化普通高等教育“十二五”规划教材课件作者周舸第十二章节网络安全.pptVIP

12.5.1 入侵检测的基本概念 入侵检测（ID）是指识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。入侵检测的全过程包括监控在计算机系统或网络中发生的事件、分析处理这些事件、检测出入侵事件。 入侵检测系统（IDS）是指使整个监控和分析过程自动化的独立系统，它既可以是一种安全软件，也可以是硬件。 入侵检测和防火墙最大的区别在于防火墙只是一种被动防御性的网络安全工具，而入侵检测作为一种积极主动的安全防护技术能够在网络系统受到危害之前拦截和响应入侵，很好地弥补了防火墙的不足。 12.5 入侵检测技术 12.5.2 入侵检测的分类 1. 根据信息源的不同进行分类 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 基于主机的IDS可监测Windows 下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于网络的IDS以数据包作为分析的数据源，它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。一旦检测到了攻击行为，IDS的响应模块就会做出报警、切断相关用户的网络连接等适当的响应。 2. 根据检测所用分析方法的不同进行分类 误用检测（Misuse Detection）