入侵检测 信息系统安全理论与技术 知识（第2版）课件.ppt

入侵检测Intrusion Detection; 在P2DR2动态安全模型中，采用的加密、访问控制等安全技术都是静态防御技术，这些技术本身也易受攻击或存在问题。那么攻击者可能绕过了静态安全防御技术，进入系统，实施攻击。;入侵检测的可能性;入侵检测;入侵检测“早期活动是后期活动的准备”入侵造成可见的破坏;入侵检测系统分为基于网络的和基于主机的（信息源）;异常检测和滥用检测(技术) ; 对于整个系统，也可以根据CPU利用率、内存利用率、文件校验和等建立一个模型“正常活动集”，以定义的统计量为标准，根据这些值与预先建立的正常集的值之间是否有偏离，就可以标记出系统状态是否处于入侵尝试。 ;异常检测和滥用检测(技术);位于非军事区，每个外部防火墙之后 位于外部防火墙之前：能够记录所有来自Internet的针对整个内部网络的攻击的数量及类型。 ?位于骨干网络 ???位于关键子网中 ??;一个开放源代码的基于网络的入侵检测系统Snort ;简单、轻量级的规则描述语言定义规则; IPsec  Security Architecture for IP network ;IPsec 安全体系结构;IPSec的实施;IPSec两种工作模式;封装安全载荷ESP(Encapsulating Security Payload);认证头(AH,Authentication Header )