第8章入侵检测技术.ppt

* 曾湘黔主编： 网络安全技术 清华大学出版社出版 Internet自身的开放性的特点，使得网络安全防护的方式发生了很大变化，传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，它们的实施.是由通信双方共同完成：因为Internet网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，主要是解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。于是在此情况下，出现了防火墙和入侵检测技术。 第8章 入侵检测技术 8.1 入侵检测概述 8.1.1 入侵检测原理 8.1.2 入侵检测系统结构 8.1.3 入侵检测系统分类 8.2 入侵检测技术 8.2.1 入侵检测分析模型 8.2.2 误用检测 8.2.3 异常检测 8.2.4 其他检测技术 8.3 入侵检测系统的标准 8.3.1 IETF/IDWG 8.3.2 CIDF 8.4入侵检测系统部署 8.4.1 入侵检测系统部署的原则 8.4.2 入侵检测系统部署实例 8.4.3 入侵检测特征库的建立与应用 第8章 入侵检测技术 曾湘黔主编： 网络安全技术 清华大学出版社出版 8.5 典型入侵检测产品简介 8.5.1 入侵检测工具Snort 8.5.2 Cisco公司的NetRanger 8.5.3 Network Associates公司的CyberCop 8.5.4 Internet Security System公司的RealSecure 8.5.5 中科网威的“天眼”入侵检测系统 8.6 案例 8.6.1 Snort的安装与使用 第8章 入侵检测技术 曾湘黔主编： 网络安全技术 清华大学出版社出版 入侵是所有试图破坏网络信息的完整性、必威体育官网网址性、可用性、可信任性的行为。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于： 识别入侵者 识别入侵行为 检测和监视己成功的安全突破 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 8.1 入侵检测概述 曾湘黔主编： 网络安全技术 清华大学出版社出版 通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 8.1.1 入侵检测原理 曾湘黔主编： 网络安全技术 清华大学出版社出版 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF）。 CIDF模型模型结构如图8-1所示。 　　　 　　　　　　　　　　　　　　图8-1 CIDF模型结构图 8.1.2 入侵检测系统结构 曾湘黔主编： 网络安全技术 清华大学出版社出版 从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。如图8-2所示。 图8-2 系统构成 8.1.2 入侵检测系统结构 曾湘黔主编： 网络安全技术