11第十一章入侵检测技术
- 格式:ppt
- 大小:316.00 KB
- 文档页数:60


入侵检测技术入侵检测技术一、入侵检测的概念入侵检测( Intrusion Detection),顾名恩义,就是对入侵行为的发觉,是一种通过观察行为、安全日志或审计数据来检测入侵的技术。
它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
这里说的“入侵”( Intrusion)是一个广义的概念,不仅包括发起攻击的人(如恶意的黑客、有意逃避监控的合法用户等)取得超出合法范围的系统控制杈,也包括收集系统安全漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的一切行为。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测的内容包括:试图闯入、成功闯人、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。
入侵检测系统通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并且对其作出反应。
有些反应是自动的,它包括通知网络安全管理员(通过控制台、电子邮件),中止入侵者的入侵进程、关闭计算机系统、断开与互联网的连接,使该用户访问无效,或者执行一个准备好的阻止、防范或反击命令等。
二、入侵检测的功能人侵检测技术是动态安全技术的最核心技术之一。
传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能作出实时响应。
系统安装的网络防火墙能够在内、外网之间提供安全的网络保护,降低了网络安全的风险。
但仅仅使用防火墙的网络安全是远远不够的,因为人侵者可以寻找防火墙的漏洞,绕到防火墙的背后从可能敞开的后门侵入。
也可能人侵者根本就是网内用户,他的入侵行为是在防火墙内进行的。