攻击与防护技术应用

1. 浙江警官职业学院信息技术与管理系 攻击与防护技术应用 ——入侵检测系统

2. 第7章 入侵检测系统 • 什么是入侵检测系统入侵检测就是用于检测可能存在的入侵行为。通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象。

3. 入侵检测不是防火墙，但是他和防火墙相互补充。入侵检测不是防火墙，但是他和防火墙相互补充。 入侵检测系统通过策略来确定事件的性质。 入侵检测系统是对来自外部和内部攻击进行检测和相应的主要措施。

4. 3、入侵检测系统的类型 • 基于网络的入侵检测（NID） 分析主机与主机之间传输的数据 网络入侵检测的局限性：交换式网络、加密的网络、高速网络。 • 基于主机的入侵检测（HID） 监视、检测对于主机的攻击 • 混合入侵检测 以上两者的结合 • 网络节点的入侵检测（NNID） 在数据包到达主机是截取的。

5. 4、入侵检测的发展 1）1980年，入侵检测系统概念的诞生。 2）1983年，第一个入侵检测模型：入侵检测专家系统（IDES）。 3）1984年，SRI组织与海军合作首次实现了入侵检测系统。 4）1988年，干草堆项目 5）1990年，NSM,第一个网络入侵检测系统 6) 第一个商业化的入侵检测系统:NetRanger.

6. 5、入侵检测系统模型 CIDF阐述了一个入侵检测系统IDS的通用模型。 事件产生器 事件分析器 响应单元 事件数据库

7. 6、入侵检测解决方案 人决定一切，再好的系统也要人去用！ 一般来说，选择入侵检测产品考虑一下因素： 实时性 自动反应功能 能检测到所有事件，不会发生遗漏警报 跨平台性好，能在多种平台下运行

8. 书上推荐4个品牌： 1、RealSecure 2、NetProwler 3、NFR 4、NetRanger 入侵检测系统的标准: 快速控制台 良好的误警报管理 显示过滤器 标志已经分析过的事件 层层探究的能力 关联分析能力 报告能力

9. 检测器的位置 1、放置在防火墙外 2、放置在防火墙内 3、防火墙内外都设检测器 4、防止在重要位置 检测器和分析系统之间的通信方式有: PUSH和PULL技术

10. 7、检测攻击行为 机器毕竟是机器，所以它无法象人一样对网络上各种各样的数据包作出正确的判断。真正的作出判断的还是人。

11. 8、响应 使用入侵检测系统不仅仅是检测出可能存在的攻击行为，还需要对可能存在的攻击进行相应的处理。 1、自动相应 2、人工相应 a：遏制事态发展 b：根除问题 c：恢复数据 d：总结经验教训

12. 9、入侵检测的未来发展 • 安全事件逐年上升 • 安全问题日渐增多 • 良好的适应性 • 必须协调、适应多样性的环境中的不同安全策略 • 高效率 • 通用性 • 不断变化的入侵检测市场给购买、维护IDS造成的困难 • 采用不恰当的自动反应所造成的风险 • 对IDS自身的攻击 • 大量的误报和漏报使用发现问题的真正所在非常困难 • 客观的评估与测试信息的缺乏 • 交换式局域网带来的问题