启明星辰入侵检测培训PPT(讲稿).pdf

入侵检测系统IDS 启明星辰认证培训部：沈尚方 shen_shangfang@ 第一部分 入侵检测系统概述 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构 什么是入侵检测系统 入侵检测（intrusion detection ） 入侵检测是对即将发生、正在发生的或已经发 生的入侵行为的一种识别过程，是一种动态的 安全防护手段，它能主动寻找入侵信号，给网 络系统提供对外部攻击、内部攻击和误操作的 安全保护，是一种增强系统安全的有效方法。 入侵检测系统(IDS-intrusion detection system) 用于辅助进行入侵检测或者独立进行入侵检测 的自动化工具。一般是用于检测的软件和硬件 的组合。 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构 IDS的作用  在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否 有效的系统 检测 检测 后门 监控 检测 Card Key 响应 入侵检测系统的作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构 入侵检测技术的起源（1 ） 审计技术：产生、记录并检查按照时间顺序排 列的系统事件记录的过程 1980年，James anderson的 《计算机安全监控 与监视》computer security threat monitoring and surveillance 第一次详细阐述了入侵检测的概念 将计算机系统威胁分为：外部渗透、内部渗透 和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 被认为是入侵检测的开山之作 入侵检测技术的起源（2 ） 1984-1986年，乔治敦大学的Dorothy denning 和SRI/CSL的peter neumann 研究出了一个实 时入侵检测系统模型—IDES （入侵检测专家 系统） 1990年，加州大学戴维斯分校的L.T.heberlein 等人开发的NSM(network security Monitor) 该系统第一次直接将网络流作为审计数据来源。 因而可以在不将审计数据转换成统一格式的情 况下监控异种主机 入侵检测系统发展史的新的一页，两大阵营的 正式形成：基于网络的IDS和基于主机的IDS 入侵检测技术的起源（3 ） 1988年之后，美国开展对分布式入侵检 测系统（DIDS ）的研究，将基于主机和 基于网络的检测方法集成到一起。DIDS 是分布式入侵检测系统历史上的一个里 程碑式的产物。 20世纪90年代到现在，入侵检测系统的 研发呈现百家争鸣的局面，并在智能化 和分布式两个方向取得了长足的进展 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构 入侵检测系统IDS体系结构 事件产生器 检测引擎（事件分析引擎） 事件数据库 响应组件 事件产生器 负责原始数据的采集，并将获得的原始 数据转化为可以向其它系统提供的事件。 数据来源： 对于NIDS 系统，主要在网络不同的关键 点处，收集的来自网络中的数据包。 对于HIDS 系统，主要来自审计日