第5章入侵检测技术-第5章入侵检测技术.pptVIP

网络安全技术 入侵检测基本知识 入侵检测的概念 入侵：是指任何企图危及资源的完整性、机密性和可用性的活动 入侵检测：指识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象 入侵检测基本知识 入侵检测的概念 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术 入侵检测系统IDS(Intrusion Detection System)：完成入侵检测功能的软件、硬件组合，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警 入侵检测基本知识 入侵检测系统的作用和目的 入侵检测系统的作用和目的 入侵检测系统的作用 入侵检测系统的作用和目的 入侵检测系统的作用 入侵检测系统的作用和目的 入侵检测系统的作用 入侵检测系统的作用和目的 入侵检测系统的目的 入侵检测系统的作用和目的 入侵检测系统的目的 入侵检测系统的作用和目的 入侵检测系统的目的 入侵检测基本知识 IDS与防火墙的关系 功能互补，通过合理搭配部署和联动提升网络安全级别 检测来自外部和内部的入侵行为和资源滥用 在关键边界点进行访问控制 实时的发现和阻断 入侵检测基本知识 IDS与防火墙的关系 入侵检测基本知识 IDS与扫描器的关系 入侵检测基本知识 入侵检测的步骤 信息收集 数据分析 响应 入侵检测的步骤 信息收集 入侵检测的步骤 信息收集 入侵检测的步骤 信息收集 入侵检测的步骤 信息收集 入侵检测的步骤 信息收集 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 数据分析 入侵检测的步骤 响应 将分析结果记录在日志文件中，并产生相应的报告 触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等 修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接, 或更改防火墙配置等 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的基本结构 入侵检测系统简介 入侵检测系统的类型 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 入侵检测系统的类型 基于主机的入侵检测系统（HIDS） HIDS是在系统一级进行的入侵检测 检测目标是主机系统和系统本地用户 安装在被检测的主机上 对被检测主机的网络实时连接以及对系统审计日志进行智能分析和判断，发现不寻常的改动后采取相应的措施 入侵检测系统的类型 基于主机的入侵检测系统（HIDS） 入侵检测系统的类型 基于主机的入侵检测系统（HIDS） 优势：监视特定的系统活动；接近实时的检测和响应；不需要额外的硬件设 不足：会降低应用系统的效率；全面布署 HIDS 代价大；依赖于服务器固有的日志和监视能力；无法进行网络上的入侵检测 入侵检测系统的类型 基于网络的入侵检测系统（HIDS） 通过硬件或软件对网络上的数据包进行实时检查，并与系统的网络安全数据库的入侵特征进行比较、分析，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉 入侵检测系统的类型 基于网络的入侵检测系统（HIDS） 入侵检测系统的类型 基于网络的入侵检测系统（HIDS） 优势：能够检测基于主机的入侵检测漏掉的攻击；攻击者不易转移证据；实时检测和响应；与操作系统无关 弱点：不能检测到所有的数据包；不容易实现一些复杂的需要大量计算与分析时间的攻击检测 入侵检测系统的类型 两种系统的比较 NIDS使用监听的方式，在网络通信中寻找符合网络入侵模板的数据包；HIDS在宿主系统审计日志文件或其他操作中寻找攻击特征 NIDS独立于被保护的机器之外；HIDS安装在被保护的机器之上 入侵检测系统简介 入侵检测系统的主要方法 误用检测方法 异常检测方法 入侵检测系统的主要方法 误用检测方法 是对不正常的行为进行建模，这些行为