第十二讲入侵检测技术原理及应用主要内容主要内容入侵及入侵检测系统的定义入侵检测（IntrusionDetection），顾名思义，便是对入侵行为的发觉它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统（IntrusionDetectionSystem,简称IDS）是进行入侵检测的软件与硬件的组合与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理，并识别违反安全策略的用户活动实时通知IDS产品常见结构IDWG—IntrusionDetectionWorkingGroupIDWG通用IDS模型CIDF—CommonIntrusionDetectionFramework标准APIE事件生成器A事件分析器D事件数据库C系统特定的控制器CVE—CommonVulnerabilitiesandExposures入侵检测系统概述——功能主要内容入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史入侵检测系统的历史主要内容入侵检测产品分类特征检测Signature-baseddetection异常检测AnomalydetectionNIDS网络入侵检测优点网络入侵检测优点网络入侵检测弱点网络入侵检测弱点网络入侵检测弱点HIDS主机入侵检测优点主机入侵检测优点主机入侵检测弱点主机入侵检测弱点实时分析的方法实时系统可以不间断地提供信息收集、分析和汇报，实时系统提供了多种实时报警，并对攻击自动做出反应事后分析的方法在事后分析的方法中，入侵检测系统将事件信息的记录到文件中，并且由入侵检测系统在事后对这些文件进行分析，找出入侵或误用的特征改变被攻击系统的环境断开进攻者使用的连接重新配置网络设施这种响应机制可让系统管理员在职权范围内采取主动措施，使被检测到的攻击造成的损失最小化实时通知即时发送的与事件有关的信息，通知重要人员电子邮件、寻呼机、手机短消息、传真等入侵检测技术发展方向使用网络协处理器提高处理能力NIDS传感器的部署位置NIDS传感器的部署方法NIDS传感器的部署方法-共享介质NIDS传感器的部署方法-SPAN/端口镜像NIDS传感器的部署方法-tap分接器IDS能够识别的攻击和事件入侵检测系统的选择内容回顾