入侵检测技术IntrusionDetection.pptVIP

RPM包安装bash#rpm-ihv-nodepssnort-1.7-1.i386.rpm源代码安装解压、编译libpcap包解压、编译SnortSnort系统安装Snort系统基于主机的入侵检测数据源系统状态信息（CPU,Memory,Network）记账（Accounting）信息审计信息（Audit），登录认证，操作审计，如syslog等应用系统提供的审计记录基于主机的入侵检测基于主机的入侵检测系统实现方法

检测系统设置以发现不正当的系统设置和系统设置的不正当更改。例如COPS系统。对系统安全状态进行定期检查以发现不正常的安全状态，例如Tripwire系统。通过替换服务器程序，在服务器程序与远程用户之间增加一个中间层，在该中间层中实现跟踪和记录远程用户的请求和操作。例如TCPwrapper。

基于主机日志的安全审计，通过分析主机日志来发现入侵行为。

基于主机的入侵检测基于主机的入侵检测系统优点

基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。基于主机的入侵检测日志信息有限，入侵不能完全记录需要在主机上运行，占用系统资源多数是事后的分析，实时性差异构的平台支持困难基于主机的入侵检测系统弱点

基于主机代理的分布式入侵检测系统

基于主机的入侵检测分布式入侵检测系统主机AgentHIDS产品基于主机的入侵检测赛门铁克的IntruderAlert入侵检测系统分类基于网络的入侵检测系统(NIDS)

基于网络的入侵检测系统通过网络监视来实现数据提取，对可疑的异常活动和包含攻击特征的活动作出响应。在局域网中，将网卡的接收模式设置为混杂模式，获得经过本网段的所有通信信息，从而实现网络监视的功能。在其它网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

基于网络的入侵检测RouterIDSSensorMonitoredServersWANLAN基于网络的入侵检测HUBIDSSensorMonitoredServersWANLAN基于网络的入侵检测成本低全面检测入侵实时检测、响应和截断。被动监听方式工作，很难被入侵者发现。能够检测未成功的攻击企图。不改变系统和网络的工作模式，不影响主机性能。与操作系统独立。基于网络的入侵检测系统优点

基于网络的入侵检测基于网络的入侵检测系统主要问题

数据量庞大，要求较强的特征数据提取能力高速网络的丢包问题监测范围的局限影响网络性能不能结合操作系统特征来对网络行为进行准确的判断基于网络的入侵检测基于网络代理的分布式入侵检测系统

?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????基于网络的入侵检测NIDS产品

?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????东软、瑞星、东方龙马等公司都提供NIDS产品入侵检测系统分类混合分布式入侵检测系统(DIDS)

HIDS与NIDS并行可以做到优势互补。在实施NIDS系统的同时，在特定的敏感主机上增加代理。网络部分提供早期警告，而基于主机的部分可提供攻击成功与否的情况分析与确认。混合分布式入侵检测系统可以从不同的主机系统、网络部件和通过网络监听方式收集数据，利用网络数据也可收集分析来自主机系统的高层事件发现可疑行为。混合分布式入侵检测系统主机主机流量

分析器主机Agent管理器网络Agent流量

分析器主机主机混合型的分布式入侵检测系统不同的入侵检测Agent之间的协调；不同审计记