入侵检测系统(DS).pptVIP

入侵检测的分类 (混合IDS) 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 入侵检测系统分类（三） 根据系统工作方式来分： 在线入侵检测(IPS)，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。 离线入侵检测，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。 入侵检测的部署 IDS的部署模式： 共享媒介HUB 交换环境 隐蔽模式 Tap模式 In-line模式 入侵检测的部署 检测器部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网 入侵检测的部署 部署一 Internet 部署二 部署三 部署四 入侵检测的部署 检测器放置于防火墙的DMZ区域 可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点 入侵检测的部署 检测器放置于路由器和边界防火墙之间 可以审计所有来自Internet上面