第5章 0926入侵检测技术.pptxVIP

第五章　入侵检测技术 ;IDS存在与发展的必然性; ; 入侵检测系统的主要功能有以下几点： 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为。 对操作系统进行日志管理，并识别违反安全策略的用户活动。 ;入侵检测系统的特点;5.1.2 入侵检测系统的结构 ;IDS的基本结构;事件产生器(1);事件产生器(2);事件分析器(1);事件分析器(2);事件数据库;响应单元;5.2 入侵检测系统分类 ;5.2.1 HIDS;基于主机入侵检测系统工作原理;基于主机的入侵检测系统具有以下优点： 检测准确度较高。 可以检测到没有明显行为特征的入侵。 成本较低。 不会因网络流量影响性能。 适于加密和交换环境。不检查包头和净荷;基于主机的入侵检测系统具有以下不足： 实时性较差。 无法检测数据包的全部。 检测效果取决于日志系统。 占用主机资源。 隐蔽性较差。 如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。;5.2.2 NIDS ;基于网络入侵检测系统工作原理;基于网络的入侵检测系统有以下优点： 可以提供实时的网络行为检测。 可以同时保护多台网络主机。 具有良好的隐蔽性。 有效保护入侵证据。 不影响被保护主机的性能。 ;基于网络的入侵检测系统有以下不足： 防入侵欺骗的能力通常较差。 在交换式网络环境中难以配置。 检测性能受硬件条件限制。 不能处理加密后的数据。;5.3 入侵检测系统的分析方式 ;入侵检测性能关键参数;入侵检测系统的分析方式; ;异常检测;异常检测特点;2．异常检测技术的优点: 能够检测出新的网络入侵方法的攻击。 较少依赖于特定的主机操作系统。 对于内部合法用户的越权违法行为的检测能力较强。 异常检测技术有以下不足： 误报率高。 模型建立困难。 难以对入侵行为进行分类和命名。; ;误用检测;误用检测;2．误用检测技术的评价 误用检测技术有以下优点： 检测准确度高。 技术相对成熟。 便于进行系统防护。 误用检测技术有以下缺点： 不能检测出新的入侵行为。 完全依赖于入侵特征的有效性。 维护特征库的工作量巨大。 难以检测来自内部用户的攻击。;5.5 入侵检测系统的部署 ;5.5.1 基于网络入侵检测系统的部署 ;DMZ优点;外网入口;内网主干;关键子网;;入侵检测系统的优点（1）;入侵检测系统的优点（2）;入侵检测系统的局限性（1）;入侵检测系统的局限性（2）;1、关于主机入侵监测的主要缺点，哪个不正确？ A、看不到网络活动 ?B、运行审计功能要占用额外资源?C、主机监视感应器不通用 D、对加密通信无能为力? 2、入侵检测系统从检测数据流来源分为哪两种？ A、网络入侵检测系统和主机入侵检测系统 B、分布入侵检测系统和集中入侵检测系统 C、硬件入侵检测系统和软件入侵检测系统 D、B/S架构入侵检测系统和C/S架构入侵检测系统 3、网络入侵检测系统的审计数据来源是什么？ A、网络数据流 B、系统日志 C、文件调用 D、文件完整性检查;4、入侵检测系统的规则库需要（） A、定时升级 B、无需升级 C、产品版本升级时才需要升级 D、以上都不对 5、网络入侵检测系统的主要优点不包括？ A、只要部署恰当的几个基于网络的IDS就可以监视很大的一个网络 B、对于现有的网络影响很小 C、对于许多攻击者来说，它是不可见的 D、可以监控网络中传输的加密数据;;PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/ PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀PPT下载：/xiazai/ PPT教程： /powerpoint/ Word教程： /word/ Excel教程：/excel/ 资料下载：/ziliao/ PPT课件下载：/kejian/ 范文下载：/fanwen/ 试卷下载：/shiti/ 教案下载：/jiaoan/ PPT论坛： ;PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/ PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀PPT下载：/xiazai/ PPT教程： /powerpoint/ Word教程： /