计算机网络安全08.ppt

第8章 入侵检测系统 本章要点 ? 入侵检测系统模型、工作过程。 ? 入侵检测系统分类和工作原理。 ? 基于主机的入侵检测系统和基于网络的入侵检测系统部署。 ? 入侵防护系统相关概念。 8.1 入侵检测概述 8.1.1 入侵检测的概念及功能 在网络安全技术中，入侵是指进入计算机系统对系统资源进行非授权访问和使用的行为，监控入侵行为称为入侵检测。入侵检测技术是为保护系统资源不被泄露、篡改和破坏而设计的一种网络安全防御技术。 一个完善的入侵检测系统应该具备以下的功能。 ???能实时监测分析用户、主机系统的行为活动。 ???能审计系统配置的弱点，评估关键系统资源与重要数据的完整性。 ???能检测识别已知进攻行为，自动发送警报，自动采取相应防御措施。 ???能审计、跟踪、管理主机系统，统计、分析异常行为活动，记录事件日志。 8.1.2 入侵检测系统模型 CIDF阐述了一个IDS的通用模型，它将入侵检测系统需要分析的数据统称为事件，以下为模型组件及功能。 ???事件产生器：事件检测器，获得事件并向系统其他部分提供事件。 ???事件分析器：分析获得的事件，产生分析结果。 ???响应单元：对分析结果做出反应。 ???事件数据库：存储各种中间和最终事件。 8.1.3 入侵检测工作过程 入侵检测的工作过程一般分为3个步骤： （1）信息采集 （2）信息分析 （3）结果处理 8.