第6章__入侵检测技术.pptVIP

CH6 入侵检测技术;课程内容;课程内容;第一部分 入侵检测概述;一、什么是入侵检测系统？ 入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。 入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对保护的系统进行安全审计、监控、攻击识别并作出实时的反应。;二、 为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种攻击工具唾手可得 防火墙不能保证绝对的安全 防火墙只是网络边界的设备 防火墙自身可以被攻破 防火墙对某些攻击的防护能力很弱 无法阻止内部人员所做的攻击 攻击发生后，防火墙保存的信息难以调查和取证;三、 入侵检测的作用 检测来自内部和外部的攻击事件和越权访问 监控、分析用户和系统的活动 审计系统的配置和漏洞 评估关键系统和数据文件的完整性 ; 1980年，James Anderson最早提出入???和威胁的概念； 1986年，D．E．Denning首次给出了一个入侵检测的通用模型，并将入侵检测作为一种新的安全防御措施提出； 1988年，实现了基于主机的系统,有IDES，Haystack等； 1990年，提出基于网络的IDS系统,有NSM，NADIR， DIDS，GrIDS等； 1999年，出现商业产品，有Cisco，RealSecure等。;4. 入侵检测的发展历史（续） 90年代以后，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入入侵检测系统； 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮； 2001年至今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。;入侵检测的基本概念;Anomaly 异常 Alerts 警告 Console 控制台 Sensor 传感器;五、 入侵检测系统分类;课程内容;入侵检测工作原理;一、 入侵检测系统的构件;二、 入侵检测的工作过程;网络入侵检测引擎工作流程;网络入侵检测的工作过程;网络入侵检测的工作过程;网络入侵检测的工作过程;2.2.2 网络入侵检测的工作过程;入侵检测的信息收集内容;入侵检测的信息分析方法;误用检测;误用检测;误用检测;2.3.1 误用检测;2.3.1 误用检测;异常检测;异常检测;异常检测;入侵检测系统分类; HIDS优点 性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境;入侵检测系统分类;NIDS 基于网络的入侵检测系统 系统安装在比较重要的网段内;NIDS优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性 安装方便;NIDS缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话;课程内容;入侵检测应用;IDS应用--如何选择IDS;IDS在交换式网络中的位置;入侵检测系统部署方式;入侵检测系统部署方式;Internet;IDS部署实例;IDS部署实例;;;Snort 分析;Snort 安装与配置;6.1.1 Snort简介;底层库的安装与配置 ;Snort的安装;Snort的安装;Snort的安装;Snort的安装;Snort的安装;Snort的配置;Snort的使用;Libpcap的命令行;Snort的命令行 ;高性能的配置方式;Snort的规则;规则的语法;规则文件的语法;规则头;规则选项;规则举例－1;规则举例－2;规则举例－3;规则的设计;入侵检测产品;RealSecure;入侵防御系统(IPS) ;;IPS;IPS;IPS;入侵检测系统IDS vs入侵防御系统IPS;如何选用IPS IDS;思考题;谢谢！