入侵检测和防御技术.pptVIP

* * * 《计算机网络与信息安全技术》教学课件 V08.08 * 入侵检测与防御技术 第 9 章 基本内容 防火墙是网络系统的第一道安全闸门，但一般网络系统必须对外开放一些应用端口，如80、110等，这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护，本章介绍其中的一种方法，即入侵检测技术。 9.1 入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 9.1 入侵检测系统概述 9.1.1 相关术语 攻击 ?攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 ?在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 ? CIDF 将入侵检测系统需要分析的数据统称为事