第10章入侵检测系统 网络安全 NETWORK SECURITY 入侵检测系统概述 入侵检测分类 3 入侵检测技术 入侵检测产品
2 第10章 入侵检测系统 1 2 入侵检测分类 3 入侵检测技术 4 入侵检测产品 入侵检测系统概述
一、入侵检测系统概述 网络安全 NETWORK SECURITY 入侵检测系统及起源 入侵检测系统的基本结构 3 入侵检测系统分类 基本术语
3 一 、入侵检测系统概述 1 2 入侵检测系统的基本结构 入侵检测系统及起源 3 4 基本术语 入侵检测系统分类
IDS存在与发展的必然性 网铬安全 NETWORK SECURITY 网络安全本身的复杂性,被动式的防御方式显 得力不从心。 有关防火墙:网络边界的设备;自身可以被攻 破;对某些攻击保护很弱;并非所有威肋均来 自防火墙外部。 ·入侵很容易:入侵教程随处可见;各种工具垂 手可得
4 IDS存在与发展的必然性 •网络安全本身的复杂性,被动式的防御方式显 得力不从心。 •有关防火墙:网络边界的设备;自身可以被攻 破;对某些攻击保护很弱;并非所有威胁均来 自防火墙外部。 •入侵很容易:入侵教程随处可见;各种工具垂 手可得
入侵检测系统概述 网络安全 NETWORK SECURITY Anderson.在1980年给出了入侵的定义:入侵是指在非授权的 情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、 不可用的故意行为。 什么是入侵检测 ■入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算 机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统 中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 什么是入侵检测系统 ■入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。它使安全 管理员能够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件, 再分析处理这些事件,检测出入侵事件
5 入侵检测系统概述 • Anderson在1980年给出了入侵的定义:入侵是指在非授权的 情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、 不可用的故意行为。 • 什么是入侵检测 n 入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算 机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统 中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 • 什么是入侵检测系统 n 入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。它使安全 管理员能够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件, 再分析处理这些事件,检测出入侵事件
入侵检测的起源(1/3) 网络安全 审计技术:产生、记录并检查按时间顺序排茢 的系统事件记录的过程 。 1980年,James P.Anderson的《计算机安 全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》) ■ 第一次详细阐述了入侵检测的概念:潜在的有预谋 未经授权访问信息、操作信息、致使系统不可靠或 无法使用的企图。 计算机系统威胁分类:外部渗透、内部渗透和不法 行为 ■子 提出了利用审计跟踪数据监视入侵活动的思想 ■这份报告被公认为是入侵检测的开山之作
6 入侵检测的起源(1/3) • 审计技术:产生、记录并检查按时间顺序排列 的系统事件记录的过程。 • 1980年,James P. Anderson的《计算机安 全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》) n 第一次详细阐述了入侵检测的概念:潜在的有预谋 未经授权访问信息、操作信息、致使系统不可靠或 无法使用的企图。 n 计算机系统威胁分类: 外部渗透、内部渗透和不法 行为 n 提出了利用审计跟踪数据监视入侵活动的思想 n 这份报告被公认为是入侵检测的开山之作