m11-2 安装与配置入侵检测系统new

m11-2 安装与配置入侵检测系统new

ID:16457301

大小:1.01 MB

页数:14页

时间:2018-08-10

m11-2 安装与配置入侵检测系统new_第1页
m11-2 安装与配置入侵检测系统new_第2页
m11-2 安装与配置入侵检测系统new_第3页
m11-2 安装与配置入侵检测系统new_第4页
m11-2 安装与配置入侵检测系统new_第5页
资源描述:

《m11-2 安装与配置入侵检测系统new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、M11-2安装与配置IDS1.1教学目的1.1.1教学目的学生通过该能力模块的学习,能够独立完成和熟练掌握IDS的初始化安装及策略的配置。1.1.2教学要求1.教学重点²了解IDS的定义²掌握IDS的初始化的配置²掌握IDS的策略配置2.教学难点IDS的定义:入侵检测系统(Intrusion-detectionsystem,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年,JamesP.Anderso

2、n为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》的技术报告,在其中他提出了IDS的概念。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS入侵检测系统以信息来源的不同

3、和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:  (1

4、)尽可能靠近攻击源  (2)尽可能靠近受保护资源  这些位置通常是:  ·服务器区域的交换机上  ·Internet接入路由器之后的第一台交换机上  ·重点保护网段的局域网交换机上1.2本能力单元涉及的知识组织1.2.1本能力单元涉及的主要知识点1.IDS是什么?有哪些功能?2.如何进行IDS的初始化安装?3.IDS策略的部署1.2.2本能力单元需要解决的问题1.按照项目的需求,重点对IDS的初始化安装过程及策略的部署进行深入的理解。1.3核心技术和知识的理解1.2.1入侵检测系统概述当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题摆在

5、人们面前。公司一般采用防火墙作为安全的第一道防线。而随着攻击者技能的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,目前的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成重大的安全隐患。在这种情况下,入侵检测系统IDS(IntrusionDetectionSystem)就成了构建网络安全体系中不可或缺的组成部分。防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数

6、据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。1.2.2入侵防护系统的起源IDS的起源  1、1980年,JamesP.Anderson的《计算机安全威胁监控与监视》(《ComputerSecurityThreatMonitoringandSurveillance》)  第一次详细阐述了入侵检测的概念;提出计算

7、机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。  2、1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)。  3、1990年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)  该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机  入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。