网络安全应用技术 chapter6 入侵检测

网络安全应用技术 chapter6 入侵检测

ID:43809843

大小:1.71 MB

页数:31页

时间:2019-10-14

网络安全应用技术 chapter6 入侵检测_第1页
网络安全应用技术 chapter6 入侵检测_第2页
网络安全应用技术 chapter6 入侵检测_第3页
网络安全应用技术 chapter6 入侵检测_第4页
网络安全应用技术 chapter6 入侵检测_第5页
资源描述:

《网络安全应用技术 chapter6 入侵检测》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第6章入侵检测本章提要:入侵检测是对入侵行为的检测,它是一种主动保护自己免受攻击的网络安全技术入侵检测系统应当挂接在所关注流量都必须流经的链路上一般把入侵检测系统分为三类:基于网络的IDS(NIDS)、基于主机的IDS(HIDS)、分布式IDS(DIDS)从功能上将入侵检测系统划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统入侵检测系统产品及选购原则引言防火墙就像内网的门卫,入侵检测系统就像小区的巡逻保安。它们各尽其能,恪尽职守,内网才能获得更高的安全度。那么,什么是入侵检测?它

2、的构成是怎样的?目前有哪些主流产品?我们该如何应用它呢?6.1什么是入侵检测入侵检测,顾名思义,是对入侵行为的检测。它是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻网络威胁。而入侵检测系统(IDS

3、)就是自动执行入侵检测的软件与硬件的组合。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。IDS是英文“IntrusionDetectionSystem”的缩写,中文意思是“入侵检测系统”。入侵检测系统在网络中所处的位置IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源,这些位置通常是:a)服务器区域的交换机上;b)Internet接入路由器之后的第一台交换

4、机上;c)重点保护网段的局域网交换机上入侵检测系统在网络中所处的位置6.1.2为什么要使用入侵检测系统防火墙具有局限性其他安全组件的不足入侵检测系统的作用防火墙的局限性(1)防火墙无法阻止内部人员所做的攻击(2)防火墙对信息流的控制缺乏灵活性(3)在攻击发生后,利用防火墙保存的信息难以调查和取证其他安全组件的不足扫描器:扫描器可以说是入侵检测的一种,主要用来发现网络服务、网络设备和主机的漏洞,通过定期的检测与比较,发现入侵或违规行为留下的痕迹。当然,扫描器无法发现正在进行的入侵行为,而且它还有可能成为攻击者的工具

5、。防毒软件:防毒软件是最为人熟悉的安全工具,可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但对于基于网络的攻击行为(如扫描、针对漏洞的攻击)却无能为力。安全审计:安全审计通过独立的、对网络行为和主机操作提供全面与忠实的记录,方便用户分析与审查事故原因,很像飞机上的黑匣子。由于数据量和分析量比较大,目前市场上鲜见特别成熟的产品,即使存在冠以审计名义的产品,也更多的是从事入侵检测的工作。入侵检测系统的作用(1)通过检测和记录网络中的安全违规行为,惩罚网络犯

6、罪,防止网络入侵事件的发生;(2)检测其它安全措施未能阻止的攻击或安全违规行为;(3)检测黑客在攻击前的探测行为,预先给管理员发出警报;(4)报告计算机系统或网络中存在的安全威胁;(5)提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;(6)在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。6.1.3入侵检测系统的分类通过IDS所监视的活动、网络流量、事务或系统等的类型来划分:(1)基于网络的IDS(NIDS):通过检测网络传输来寻找攻击特征。(2)基于主机的IDS

7、(HIDS):通过监视主机和文件系统的操作来寻找攻击特征,对单台主机进行保护。(3)分布式IDS(DIDS):实现远程监控器的功能,并且把报警信息和日志发送到一个统一的中央管理平台的IDS群组。6.1.3入侵检测系统的分类按照IDS对事件的不同分析方法来划分(1)一些IDS主要使用特征检测技术,这和很多防病毒软件的工作原理类似。(2)另一种检测的方式叫做基于异常的检测技术。1、基于网络的入侵检测系统(NIDS)2、基于主机的入侵检测系统(HIDS)3、分布式入侵检测系统(DIDS)6.2入侵检测系统6.2.1入侵

8、检测系统构成具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,我们称之为“数据采集分析中心”,也可以把它们合称为“入侵检测引擎”,将控制台子系统在WindowsNT或2000上实现,数据库管理子系统基于数据库,多跟控制台子系统结合在一起,我们称之为“控制管理中心”或者“入侵检测管理主机”。1、数据采集子系统入侵检测利用的信息一般来自以下

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。