沈鑫剡编著网络安全教材配套课件第12章.pptx

网络安全第十二章第12章 入侵检测系统本章主要内容IDS概述；网络入侵检测系统；主机入侵检测系统。12.1 IDS概述本讲主要内容入侵定义和手段；引出IDS的原因；入侵检测系统通用框架结构；入侵检测系统的两种应用方式；IDS分类；入侵检测系统工作过程；入侵检测系统不足；入侵检测系统发展趋势；入侵检测系统的评价指标。　一、入侵定义和手段 所有破坏网络可用性、保密性和完整性的行为都是入侵。 目前黑客的入侵手段主要有恶意代码、非法访问和拒绝服务攻击等。　二、引出IDS的原因无法防御以下攻击过程内部网络终端遭受的XSS攻击；内部网络蔓延蠕虫病毒；内部网络终端发送垃圾邮件。　二、引出IDS的原因 引入入侵检测系统（IDS），IDS可以获取流经内部网络中和非军事区中的关键链路的信息，能够对这些信息进行检测，发现包含在这些信息中与实施上述攻击过程有关的有害信息，并予以反制。　三、入侵检测系统通用框架结构三、入侵检测系统通用框架结构1．事件发生器 通用框架统一将需要入侵检测系统分析的数据称为事件，事件发生器的功能是提供事件。2．事件分析器 事件分析器根据事件数据库中的入侵特征描述、用户历史行为模型等信息，对事件发生器提供的事件进行分析，得出事件是否合法的结论。3．响应单元 响应单元是根据事件分析器的分析结果做出反应的单元。4．事件数据库 事件数据库中存储用于作为判别事件是否合法的依据的信息。　四