云安全产品配置与应用 案例引导与入侵检测技术基础 3-1-04《信息安全产品配置与应用》课程-入侵检测篇-入侵检测原理-【案例引导与入侵检测技术基础】.pptVIP

任务目标 任务1：学习为什么要使用入侵检测系统 子任务A：了解网络安全现状和什么是入侵 子任务B：了解为什么要使用入侵检测系统 子任务C：了解入侵检测的发展历程 任务2：学习入侵检测技术基础 子任务A：掌握入侵检测工作原理 子任务B：掌握入侵检测体系结构 子任务C：掌握入侵检测的不同分类 学习目标 熟悉入侵检测系统的现实意义 掌握入侵检测的工作流程 本讲主要内容 入侵检测的基本工作原理 活动 被保护对象 感应器 分析器 管理器 操作员 管理员 事件 警报 通 告 查看 安全策略 入侵检测系统原理图 安全策略 应急处理 IDS的工作机制 网络数据包的获取——混杂模式 网络数据包的解密——协议分析 网络数据包的检查——特征（规则）匹配/误用检测 网络数据包的统计——异常检测 网络数据包的审查——事件生成 网络数据包的处理——告警和响应 入侵检测的工作流程 数据采集 数据过滤和缩略 检查/分析 … … 主 机 网 络 报警/响应 入侵检测系统的主要职责 IDS系统的两大职责：实时监测和安全审计。 实时监测——实时地监视网络中所有的数据报文以及系统中的访问行为， 识别已知的攻击行为，分析异常访问行为，发现并实时处理来自内部和外部的攻击事件和越权访问； 安全审计——通过对IDS系统记录的违反安全策略的用户活动进行统计分析，并得出网络系统的安全状态，并对重要事件进行记录和还原，为事后追查提供必要的证据。 入侵检测系统的体系结构 入侵检测系统模型，主要由以下几大部分组成： 数据收集器：主要负责收集数据，探测器收集所有可能的和入侵行为有关的信息，包括网络数据包、系统或应用程序的日志和系统调用记录等。探测器将数据收集后，送到检测器进行处理。 检测器：负责分析和检测入侵行为，并发出警报信号。 知识库：提供必要的数据信息支持，列如用户的历史活动档案、检测规则集等。 控制器：根据报警信号，人工或自动做出反应动作。 入侵检测在安全防御体系中的地位 监测 系统 访问 联动 入侵检测 防火墙 入侵检测在安全防御体系中的地位 实时性 协议层次 应用层 表示层 会话层 传输层 IP层 数据链层 物理层 实时 准实时 事后 实时分析所有的数据包，决定是否允许通过 监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警） 记录所有的操作以备事后查询 为系统提供全方位的保护 安全审计 提交事件信息 提交事件信息