入侵检测的部署.docVIP

入侵检测的部署 摘要 入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障，它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督，利用网络协议的高度规则性，较好地解决了入侵检测系统中准确性和实时性等问题。本文主要讲述了网络中面临的危机，入侵检测的应用和部署，以及入侵检测的相关产品和评测。 关键词：入侵检测、概念、部署、评测 Abstract Intrusion detection system as a kind of active safety protection means for the hosts and network provides dynamic security, it not only testing from outside intrusion behavior, but also to inner unauthorized supervise and, using the height of the network protocol regularity, has solved the intrusion detection system accuracy and the real time problem. This paper mainly introduces the crisis faced in the network, the application of intrusion detection and deployed, and intrusion detection and measurement of related products. Keywords: intrusion detection, concept, deployment and evaluation 目录 摘要 2 入侵检测的部署 3 前言 3 第一章 计算机系统面临的威胁 4 2.1入侵检测概念 4 2.2入侵检测的主要作用 4 2.3入侵检测的基本方法 5 2.3.1异常检测 5 2.3.2误用检测 5 第三章 入侵检测系统的部署 5 第四章 入侵检测系统的产品介绍 7 4.1入侵检测系统的性能指标 7 4.1.1有效性指标 7 4.1.2可用性指标 7 4.1.3 安全性指标 7 4.2Cisco的Cisco Secure IDS 8 第五章 入侵检测效果的评测 8 5.1测试数据源 8 5.2检测错误 8 参考文献： 9 入侵检测的部署 前言 随着信息技术空前繁荣，人们对计算机和安全网络的依赖越来越大，信息被暴露和非法使用、网络受到攻击的可能性大大增加。经济全球化、互联网应用的普及、国家信息化建设的深入，使得信息安全已经成为国家安全保障体系的核心部分，信息安全事故的频发已成为信息社会十分突出的问题。 入侵检测技术是一种主动保护系统免受攻击的网络安全技术作为防火墙的合理补充，入侵检测技术能够帮助系统 对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行检测，可以防止或减轻网络威胁。 第一章 计算机系统面临的威胁 这里讲述的威胁是指利用计算机和网络系统在系统设计或者配置和管理方面的漏洞，对系统的安全造成威胁的行为，无论这种行为是无意的还是有意的。这些威胁行为从广义上说，既包括对系统的探测，又包括对系统的攻击和入侵，主要的威胁行为包括如下及方面。 拒绝服务 拒绝服务指的是目标服务器不能提供正常的服务。根据其采取的不同手段，可分为以下几种不同的方法： 服务请求超载 SYN洪水 报文超载 欺骗 欺骗是攻击者获得用户网络信息的重要手段之一，可以分为以下几种情况： IP地址欺骗 路由欺骗 DNS欺骗 Web欺骗 监听 密码破解 木马 缓冲区溢出 ICMP秘密通道 TCP会话劫持 第二章 入侵检测技术概述 2.1入侵检测概念 入侵检测最早由James Anderson于1980年提出来的，其定义是：对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或无法使用的企图的检测和监视。 入侵检测系统（Intrusion Detection System，IDS）是试图实现检测入侵行为和计算机系统，包括计算机软件和硬件。 2.2入侵检测的主要作用 ①识别并阻断系统活动中存在的已知攻击行为，防止入侵检测对受保护系统造成损害； ②识别并阻断系统用户的违法操作行为或者越权操作行为，防止用户对受保护系统有意或无意的破坏； 检查受保护系统的重要检查部分及各种数据文件的完整性； 审计并弥补系统中存在的弱点和漏洞，其中最重