返回
《入侵检测》PPT课件

《入侵检测》PPT课件

ID:36774193

大小:313.10 KB

页数:60页

时间:2019-05-10

《入侵检测》PPT课件_第1页
《入侵检测》PPT课件_第2页
《入侵检测》PPT课件_第3页
《入侵检测》PPT课件_第4页
《入侵检测》PPT课件_第5页
资源描述:

《《入侵检测》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章入侵检测11.1入侵检测概述11.2入侵检测系统分类11.3入侵检测系统的分析方式11.4入侵检测系统的设置11.5入侵检测系统的部署11.6入侵检测系统的优点与局限性习题入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS(IntrusionDetectionSystem),它使用入侵检测技术对网络与系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。11.1入侵检测系统概述11.1.1入侵检测的概

2、念入侵检测系统工作过程:若有一个与网络连接着计算机系统,根据制订的一些安全策略,允许网络上的授权用户访问该计算机。一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问。入侵检测系统基本上不具有访问控制的能力,它通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地

3、知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性。目前,大部分网络攻击在初期就可以表现出较为明显的特征。对于这类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。入侵检测一般采用旁路侦听的机制,不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵

4、检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任何已知的入侵。它弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而带来的损失。CIDF(CommonIntrusionDetectionFramework,网址http://www.gidos.org/)阐述了一个入侵检测系统的通用模型。CIDF将入侵检测系统需

5、要分析的数据统称为事件(event),事件可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件。11.1.2入侵检测系统的基本结构(1)事件产生器事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。并且将数据进行保存到数据库。(2)事件分析器事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;二是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现

6、,进而对该时期内的异常数据进行详细分析。(3)响应单元响应单元是协同事件分析器工作的重要组成部分,一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏。(4)事件数据库事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查。根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。11.2入侵检测系统概分类基于主机的入侵检测系统用于保护单台主机不受网络攻击

7、行为的侵害,安装在被保护的主机上。这一类入侵检测系统直接与操作系统相关,它控制文件系统以及重要的系统文件,确保操作系统不会被随意地删改。该类入侵检测系统保存一定的校验信息和所有系统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。11.2.1基于主机的入侵检测系统1.网络连接检测网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。网络连接检测可以有效地检测出是否存在攻击探测行为。系统管理员可以设置好访问

8、控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置好访问权限。如果入侵检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。