ch5入侵检测技术.pptxVIP

第5章入侵检测技术内容提;5.1入侵检测概述—发展简况;5.1入侵检测概述—发展简况;返回本章首页;(1)主体(subjects);5.1入侵检测概述—发展简况;无标题;无标题;3.入侵检测技术的发展;5.1.1入侵检测原理;图5-2入侵检测原理框图返;所谓入侵检测系统就是执行入侵检;5.1.2系统结构;图5-3入侵检测系统结构返回;入侵检测的思想源于传统的系统审;5.1.3系统分类由;基于主机型（HIDS）早期入侵;基于主机型（HIDS）主要优点;基于网络型（NIDS）单独依靠;基于网络型（NIDS）主要优点;基于应用型是基于主机的入侵检测;分布式IDS（DIDS）美国普;2．基于检测理论的分类;3．基于检测时效的分类;返回本章首页;5.2入侵检测的技术实现;5.2.1入侵检测分析模型;5.2.2误用检测（Misu;2．产生式/专家系统用;专家系统是误用检测中运用最多的;在具体实现中，该方法的主要难点;3．状态转换方法;3．状态转换方法将入侵过程看作;基于状态迁移分析的误用检测简单;4．用于批模式分析的信息检索技;5．KeystrokeMon;6．基于模型推理的方法;6．基于模型推理的方法;6．基于模型推理的方法主要优点;5.2.3异常检测（Anom;1．Denning的原始模型;2．量化分析异;3．统计度量;4．非参数统计度量;5．基于规则的方法;5.2.4其它检测技术;1．神经网络（NeuralN;2．免疫学方法New;3．数据挖掘方法Col;4．基因算法基因算法是;5．基于代理的检测;5.3分布式入侵检测;5.3.1分布式入侵检测的优;（1）检测大范围的攻击行为;（3）提高检测准确度;（4）协调响应措施;5.3.2分布式入侵检测的技;（1）事件产生及存储;（4）推理技术即对事;5.3.3分布式入侵检测现状;Snortnet采用这种方式构;2．Agent-Based;5.3主要发展现状2Ag;返回本章首页;3．DIDSDIDS（;5.3主要发展现状3DI;4．GrIDSGrI;5．IntrusionStr;5．IntrusionStr;6．数据融合（DataFus;7．基于抽象（Abstract;5.4入侵检测系统的标准;5.4.1IETF/IDWG;5.4.1IETF/IDWG;5.4.2CIDF;返回本章首页;5.5入侵检测系统示例;5.5.1Snort简介;5.5.2Snort的体系结;为了能够快速准确地进行检测和处;检测规则除了包括上述的关于“要;返回本???首页;当Snort捕获一个数据包时;返回本章首页;3．日志及报警子系统;5.5.3Snort的安装与;2．Snort的简单安装;（2）更新Snort规则下载最;（3）配置Snort建立con;（4）测试Snort#/us;3．Snort的工作模式;（2）数据包记录器如果;（3）网络入侵检测系统;5.5.4Snort的安全防;5.6本章小结入侵检;为了提高IDS产品、组件及与其;本章到此结束，谢谢！