入侵检测跟安全审计.pptVIP

第四章 入侵检测与安全审计 主要内容 入侵检测系统基础 入侵检测分析方法 入侵检测系统实例 安全审计 1.1 入侵检测基础 入侵检测（ID） 是对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 通过对数据包的分析，从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。 入侵检测系统（IDS） 为完成入侵检测任务而设计的计算机系统称为入侵检测系统（Intrusion Detection System, IDS），这是防火墙之后的第二道安全闸门。 功能 发现和制止来自系统内部/外部的攻击，迅速采取保护措施 记录入侵行为的证据，动态调整安全策略 特点 经济性：IDS不能妨碍系统的正常运行。 时效性：及时地发现入侵行为。 安全性：保证自身安全。 可扩展性：机制与数据分离；体系结构的可扩展性。 工作流程 数据提取模块 为系统提供数据，经过简单的处理后提交给数据分析模块。 数据分析模块 两方面功能：一是分析数据提取模块搜集到的数据；二是对数据库保存的数据做定期的统计分析。 结果处理模块 作用在于告警与反应。 事件数据库 记录分析结果，并记录下所有的时间，用于以后的分析与检查。 1.2 IDS分类 基于主机的入侵检测系统 用于保护单台主机不受网络攻击行为的侵