《入侵检测》.ppt

该【《入侵检测》 】是由【相惜】上传分享，文档一共【60】页，该文档可以免费在线阅读，需要了解更多关于【《入侵检测》 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。,从中发现网络或系统中是否有违反平安策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS〔IntrusionDetectionSystem〕,它使用入侵检测技术对网络与系统进行监视,并根据监视结果进行不同的平安动作,最大限度地降低可能的入侵危害。:假设有一个与网络连接着计算机系统,根据制订的一些平安策略,允许网络上的授权用户访问该计算机。一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问。入侵检测系统根本上不具有访问控制的能力,它通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种表达,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网络平安管理的效率和准确性。目前,大局部网络攻击在初期就可以表现出较为明显的特征。对于这类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。入侵检测一般采用旁路侦听的机制,不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络平安系统的一个重要的组成局部,它所扮演的是网络平安系统中侦察与预警的角色,协助网络管理员发现并处理任何的入侵。它弥补了防火墙在高层上的缺乏。通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的平安产品,以使整个网络平安系统到达最正确的工作状态,尽可能降低因攻击而带来的损失。monIntrusionDetectionFramework,网址:///〕阐述了一个入侵检测系统的通用模型。CIDF将入侵检测系统需要分析的数据统称为事件〔event〕,事件可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件。〔1〕事件产生器事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。并且将数据进行保存到数据库。〔2〕事件分析器事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;二是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析。〔3〕响应单元响应单元是协同事件分析器工作的重要组成局部,一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏。〔4〕事件数据库事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查。根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。