信息安全技术第六章-入侵检测技术介绍.ppt

分布式检测的优缺点 优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据 操作模式 操作主机入侵检测系统的方式 警告 监视 毁坏情况评估 遵从性 基于主机的技术面临的问题 性能：降低是不可避免的 部署/维护 损害 欺骗 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题 基于网络的检测威胁 非授权访问 数据/资源的窃取 拒绝服务 基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。 传统的基于传感器的结构 分布式网络节点结构 传统的基于传感器的结构 传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检测引擎 检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上，每个网段一个 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器 嗅探器 分析结果 基于网络的入侵检测系统模型 分布式网络节点结构 为解决高速网络上的丢包问题，1999年6月，出现的一种新的结构，将传感器分布到网络上的每台计算机上 每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、