计算机网络安全第八章IDS

入侵检测入侵检测概述IDS的基本结构IDS的常用分类IDS的检测技术IDS的设置IDS的部署IDS的应用1/10/20231什么是入侵检测？目录10之1

入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS:IntrusionDetectionSystem）。1/10/20232为什么需要IDS？目录10之2入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，IDS是监视器1/10/20233如何使用IDS？目录10之3IDS可以作为防火墙的一个有效的补充，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。1/10/20234图示目录10之4报警日志攻击检测记录入侵过程重新配置防火墙路由器内部入侵入侵检测记录终止入侵1/10/20235IDS发挥的作用技术层面对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。目录10之5检测发现告警处理从不知到有知1/10/20236IDS发挥的作用管理层面对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。目录10之6管理评估威慑从被动到主动1/10/20237IDS发挥的作用领导层面对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。目录10之7教训总结优化从事后到事前1/10/20238IDS发挥的作用意识层面对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。目录10之8建立预警机制采取灾备措施提高保障意识从预警到保障1/10/20239IDS发展过程

—概念的诞生目录10之91980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）：指出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息—预警；提出了对计算机系统风险和威胁的分类方法，分为外部渗透、内部渗透和不法行为三种；提出利用审计跟踪数据监视入侵活动的思想。1/10/202310IDS发展过程—研究和和发展目录10之10Denning于1986年年发表的论论文“入侵检测模模型”被公认为为是IDS领域的又又一篇开山山之作；1990年年是入侵检检测系统发发展史上的的一个分水水岭。这一一年，加州州大学戴维维斯分校的的L.T.Heberlein等等人开发出出了一套网络入侵检检测系统（NetworkSecurityMonitor）；从20世纪纪90年代代到现在，，入侵检测测系统的研研发呈现出出百家争鸣鸣的繁荣局局面，并在在智能化和分布式两个方向取取得了长足足的进展。。12/28/202211IDS的基本结构构目录信息收集信息分析结果处理12/28/202212信息息收收集集目录录>>IDS的的基基本本结结构构入侵侵检检测测的的第第一一步步是是信信息息收收集集，，收收集集内内容容包包括括系系统统、、网网络络、、数数据据及及用用户户活活动动的的状状态态和和行行为为，，这这需需要要在在计计算算机机网网络络系系统统中中的的若若干干不不同同关关键键点点（（不不同同网网段段和和不不同同主主机机））收收集集信信息息，，应应尽尽可可能能扩扩大大检检测测范范围围，，因因为为从从一一个个源源来来的的信信息息有有可可能能看看不不出出疑疑点点。。入侵检测很大大程度上依赖赖于收集信息息的可靠性和和正确性。因因此要保证用用来检测网络络系统的软件件的完整性，，特别是入侵侵检测系统软软件本身应具具有相当强的的坚固性，防防止被篡改而而收集到错误误的信息。。4之112/28/202213信息来源目录>>IDS的基本本结构系统/网络的的日志文件网络流量系统目录和文文件的异常变变化程序执行中的的异常行为4之212/28/202214日志文文件目录>>IDS的基基本结结构攻击者常在在系统和网网络日志文文件中留下下他们的踪踪迹，因此此，充分利利用系统和和网络日志志文件信息息是检测入入侵的必要要条件。日志文件中中记录了各各种行为类类型，每种种类型又包包含不同的的信息，例例如记录““用户活动动”类型的的日志，就就包含登录录、用户ID改变、、用户对文文件的访问问、授权和和认证信息息等内容。。显然，对对用户活动动来讲，不不正常的或或不期望的的行为就是是重复登录录失败、登登录到不期期望的位置置以及非授授权的企图图访问重要要文件等等等。4之312/28/202215系统目录录和文件件的异常常变化目录>>IDS的的基本结结构网络环境境中的文文件系统统包含很很多软件件和数据据文件，，包含重重要信息息的文件件和私有有数据文文件经常常是黑客客修改或或破坏的的目标。。目录和文文件中的的不期望望的改变变（包括括修改、、创建和和删除）），特别别是那些些正常情情况下限限制访问问的，很很可能就就是一种种入侵产产生的指指示和信信号。入侵者经经常替换换、修改改和破坏坏他们获获得访问问权的系系统上的的文件，，同时为为了隐藏藏系统中中他们的的表现及及活动痕痕迹，都都会尽力力去替换换系统程程序或修修改系统统日志文文件。。4之412/28/202216信息分析析目录>>IDS的的基本结结构模式匹配配统计分析析完整性分分析12/28/202217模式匹配配目录>>IDS的的基本结结构>>信息分析析模式匹配配就是将将收集到到的信息息与已知知的网络络入侵和和系统误误用模式式数据库库进行比比较，从从而发现现违背安安全策略略的行为为一般来讲讲，一种种攻击模模式可以以用一个个过程（（如执行行一条指指令）或或一个输输出（如如获得权权限）来来表示。。该过程程可以很很简单（（如通过过字符串串匹配以以寻找一一个简单单的条目目或指令令），也也可以很很复杂（（如利用用正规的的数学表表达式来来表示安安全状态态的变化化）。12/28/202218统计分析析目录>>IDS的的基本结结构>>信息分析析统计分析析方法首首先给系系统对象象（如用用户、文文件、目目录和设设备等））创建一一个统计计描述，，统计正正常使用用时的一一些测量量属性（（如访问问次数、、操作失失败次数数和延时时等）。。测量属性性的平均均值和偏偏差将被被用来与与网络、、系统的的行为进进行比较较，任何何观察值值在正常常值范围围之外时时，就认认为有入入侵发生生。12/28/202219完整性分分析目录>>IDS的的基本结结构>>信息分析析完整性分分析主要要关注某某个文件件或对象象是否被被更改，，这经常常包括文文件和目目录的内内容及属属性。本方法在在发现被被更改的的、被安安装木马马的应用用程序方方面特别别有效。。12/28/202220结果处理目录>>IDS的基本本结构弹出窗口报警警E-mail通知切断TCP连连接执行自定义程程序与其他安全产产品交互FirewallSNMPTrap12/28/202221IDS的分类目录按照分析方法法分按照数据来源源分按系统各模块块的运行方式式分根据时效性分分12/28/202222按照分析方法法分目录>>IDS的分类类异常检测IDS（AnomalyDetection)首先总结正常常操作应该具具有的特征，，当用户活动动与正常行为为有重大偏离离时即被认为为是入侵。误用检测IDS（MisuseDetection)收集非正常操操作的行为特特征，建立相相关的特征库库，当监测的的用户或系统统行为与库中中的记录相匹匹配时，系统统就认为这种种行为是入侵侵。12/28/202223异常检测模型型目录>>IDS的分类类>>按照分析方法法分2之1网络数据日志数据异常检测入侵行为正常行为描述述库规则不匹配动态产生新描描述动态更新描述述12/28/202224特点点目录>>IDS的分分类>>按照分分析方方法分分异常检检测系系统的的效率率取决决于用用户轮轮廓的的完备备性和和监控控的频频率；；因为不不需要要对每每种入入侵行行为进进行定定义，，因此此能有有效检检测未未知的的入侵侵；系统能能针对对用户户行为为的改改变进进行自自我调调整和和优化化，但但随着着检测测模型型的逐逐步精精确，，异常常检测测会消消耗更更多的的系统统资源源；漏报率率低，，误报报率高高。2之之212/28/202225误用用检检测测模模型型目录录>>IDS的的分分类类>>按照照分分析析方方法法分分2之之1网络络数据据日志志数据据误用用检检测测入侵侵行行为为攻击击模模式式描描述述库库规则则匹匹配配动态态产产生生新新描描述述动态态更更新新描描述述12/28/202226特点点目录>>IDS的的分类>>按照分析析方法分分2之之2误报率低低，漏报报率高。。攻击特特征的细细微变化化，会使使得误用用检测无无能为力力。12/28/202227按照数据据来源分分目录>>IDS的的分类基于主机机的IDS（HIDS）系统获取取数据的的依据是是系统运运行所在在的主机机，保护护的目标标也是系系统运行行所在的的主机。。基于网络络的IDS（NIDS）系统获取取的数据据是网络络传输的的数据包包，保护护的是网网络的运运行。混合型IDS同时使用用基于主主机的IDS和和基于网网络的IDS，，实现两两者优势势互补。。12/28/202228基于主机机的IDS目录>>IDS的的分类>>按照数据据来源分分安装于被被保护的的主机中中主要分析析主机内内部活动动系统日志志应用程序序日志文件完整整性检查查占用一定定的系统统资源4之之112/28/202229工作过程程示意图图目录>>IDS的的分类>>按照数数据来来源分分Internet网络服服务器器1客户端端网络服服务器器2X检测内内容：：系统调调用、、端口口调用用、系系统日日志、、安全全审记记、应应用日日志HIDSXHIDS4之之212/28/202230优点点目录>>IDS的分分类>>按照数数据来来源分分检测准准确度度较高高；可以检检测到到没有有明显显行为为特征征的入入侵；；能够对对不同同操作作系统统进行行有针针对性性的检检测；；成本较较低；；不会因因网络络流量量影响响性能能；适合加加密和和交换换环境境。4之之312/28/202231缺点目录>>IDS的分分类>>按照数据来来源分4之4实时性较差差；无法检测数数据包的全全部；检测效果取取决于日志志系统；占用主机资资源；隐蔽性较差差；如果入侵者者能够修改改校验和，，这种IDS将无法法起到预期期的作用。。12/28/202232基于网络的的IDS目录>>IDS的分分类>>按照数据来来源分安装在被保保护的网段段中混杂模式监监听分析网段中中所有的数数据包实时检测和和响应操作系统无无关性不会增加网网络中主机机的负载4之112/28/202233工作过程示示意图目录>>IDS的分分类>>按照数据来来源分InternetNIDS网络服务器器1客户端网络服务器器2X检测内容：：包头信息+有效数据据部分4之212/28/202234优点目录>>IDS的分分类>>按照数据来来源分可以提供实实时的网络络行为检测测；可以同时保保护多台网网络主机；；具有良好的的隐蔽性；；有效保护入入侵证据；；不影响被保保护主机的的性能；操作系统无无关性。4之312/28/202235缺点目录>>IDS的分分类>>按照数据来来源分防入侵欺骗骗的能力通通常较差；；在交换式网网络环境中中难以配置置；检测性能受受硬件条件件限制；不能处理加加密后的数数据。4之412/28/202236混合型IDS目录>>IDS的分分类>>按照数据来来源分基于主机的的IDS和和基于网络络的IDS都有着自自身独到的的优势，而而且在某些些方面是很很好的互补补。混合型型IDS就就是采用这这两者结合合的入侵检检测系统，，那将是汲汲取了各自自的长处，，又弥补了了各自的不不足的一种种优化设计计方案。通常这样的的系统一般般为分布式式结构，由由多个部件件组成，它它能同时分分析来自主主机系统的的审计数据据及来自网网络的数据据通信流量量信息。12/28/202237按系统各模块块的运行方式式分目录>>IDS的分类类集中式IDS在被保护网络络的各个网段段中分别放置置检测器进行行数据包的搜搜集和分析，，各个检测器器将检测信息息传送到中央央控制台进行行统一处理，，中央控制台台还会向各个个检测器发送送命令。分布式IDS通常采用分布布式智能代理理的结构，由由一个或多个个中央智能代代理和大量分分布在网络各各处的本地代代理组成。其其中本地代理理负责处理本本地事件，中中央代理负责责调控各个本本地代理的工工作以及从整整体上完成对对网络事件进进行综合分析析的工作。检检测工作通过过全部代理互互相协作共同同完成。12/28/202238根据据时时效效性性分分目录录>>IDS的的分分类类脱机机分分析析IDS行为为发发生生后后，，对对产产生生的的数数据据进进行行分分析析。。联机机分分析析IDS在数数据据产产生生的的同同时时或或者者发发生生改改变变时时进进行行分分析析。。12/28/202239IDS的检检测测技技术术目录录异常常检检测测技技术术误用用检检测测技技术术其它它检检测测技技术术12/28/202240异常常检检测测技技术术—基基于于行行为为的的检检测测目录录>>IDS的的检检测测技技术术统计计分分析析异异常常检检测测贝叶叶斯斯推推理理异异常常检检测测神经经网网络络异异常常检检测测模式式预预测测异异常常检检测测数据据挖挖掘掘异异常常检检测测机器器学学习习异异常常检检测测12/28/202241统计计分分析析异异常常检检测测目录录>>IDS的的检检测测技技术术>>异常常检检测测技技术术首先先对对系系统统或或用用户户的的行行为为按按照照一一定定的的时时间间间间隔隔进进行行采采样样，，样样本本的的内内容容包包括括每每个个会会话话的的登登录录、、退退出出情情况况，，CPU和和内内存存的的占占用用情情况况，，硬硬盘盘等等存存储储介介质质的的使使用用情情况况等等。。对对每每次次采采集集到到的的样样本本进进行行计计算算，，得得出出一一系系列列的的参参数数变变量量来来对对这这些些行行为为进进行行描描述述，，从从而而产产生生行行为为轮轮廓廓，，将将每每次次采采样样后后得得到到的的行行为为轮轮廓廓与与已已有有轮轮廓廓进进行行合合并并，，最最终终得得到到系系统统和和用用户户的的正正常常行行为为轮轮廓廓。。IDS通通过过将将当当前前采采集集到到的的行行为为轮轮廓廓与与正正常常行行为为轮轮廓廓相相比比较较，，从从而而来来检检测测网网络络是是否否被被入入侵侵。。2之之112/28/202242特点点目录>>IDS的的检测技技术>>异常检测测技术优点所应用的的技术方方法在统统计学中中已经比比较成熟熟。缺点异常阀值值难以确确定：阀阀值设置置得偏低低会产生生过多的的误检，，偏高会会产生过过多的漏漏检。对事件发发生的次次序不敏敏感：可可能会漏漏检由先先后发生生的几个个关联事事件组成成的入侵侵行为。。对行为的的检测结结果要么么是异常常，要么么是正常常，攻击击者可以以利用这这个弱点点躲避IDS的的检测。。2之之212/28/202243神经网网络异异常检检测目录>>IDS的检检测技技术>>异常检检测技技术3之之1基本思思想：：用一一系列列的信信息单单元（（命令令）训训练神神经单单元，，这样样在给给定一一组输输入后后，就就可以以预测测输出出。用于检检测的的神经经网络络模块块结构构为：：当前前命令令和刚刚过去去的w个命命令组组成了了网络络的输输入，，其中中w是是神经经网络络预测测下一一个命命令时时所包包含的的过去去命令令集的的大小小。根根据用用户的的代表表性命命令序序列训训练网网络后后，该该网络络就形形成了了相应应用户户的特特征表表，于于是网网络对对下一一事件件的预预测错错误率率在一一定程程度上上反映映了用用户行行为的的异常常程度度。12/28/202244图示示目录>>IDS的检检测技技术>>异常检检测技技术3之之212/28/202245特点点目录>>IDS的检检测技技术>>异常检检测技技术优点不需要要对数数据进进行统统计假假设，，能够够较好好地处处理原原始数数据的的随机机性，，并且且能够够较好好地处处理干干扰数数据。。缺点网络的的拓扑扑结构构和各各元素素的权权重难难以确确定，，必须须经过过多次次尝试试。W的大大小难难以确确定：：设置置的小小，则则会影影响输输出效效果；；设置置的大大，则则由于于神经经网络络要处处理过过多的的无关关数据据而使使效率率下降降。3之312/28/202246误用检测技技术—基于知知识的检测测目录>>IDS的检检测技术专家系统误误用检测特征分析误误用检测模型推理误误用检测条件概率误误用检测键盘监控误误用检测12/28/202247专家系统误误用检测目录>>IDS的检检测技术>>误用检测技技术首先将安全全专家的关关于网络入入侵行为的的知识表示示成一些类类似if-then的规则，，并以这些些规则为基基础建立专专家知识库库。规则中中的if部部分说明形形成网络入入侵的必需需条件，then部部分说明发发现入侵后后要实施的的操作。IDS将网网络行为的的审计数据据事件进行行转换，成成为包含入入侵警告程程度的判断断事实，然然后通过推推理引擎进进行入侵检检测，当if中的条条件全部满满足或者在在一定程度度上满足时时，then中的动动作就会被被执行。2之112/28/202248特点点目录>>IDS的的检测技技术>>误用检测测技术需要处理理大量的的审计数数据并且且依赖于于审计追追踪的次次序，在在目前的的条件下下处理速速度难以以保证；；对于各种种网络攻攻击行为为知识进进行规则则化描述述的精度度有待提提高，审审计数据据有时不不能提供供足够的的检测所所需的信信息；专家系统统只能检检测出已已发现的的入侵行行为，要要检测出出新的入入侵，必必须及时时添加新新的规则则，维护护知识库库的工作作量很大大。2之之212/28/202249特征分析析误用检检测目录>>IDS的的检测技技术>>误用检测测技术在商品化化的IDS中本本技术运运用较多多。特征征分析误误用检测测与专家家系统误误用检测测一样，，也需要要搜集关关于网络络入侵行行为的各各种知识识，不同同的是：：特征分分析更直直接地使使用各种种入侵知知识，它它将入侵侵行为表表示成一一个事件件序列或或者转换换成某种种可以直直接在网网络数据据包审计计记录中中找到的的数据样样板，为为不进行行规则转转换，这这样就可可以直接接从审计计数据中中提取相相应的数数据与之之匹配，，因此不不需处理理大量的的数据，，从而提提高了效效率。12/28/202250其它检测技术术目录>>IDS的检测测技术遗传算法免疫技术12/28/202251遗传算法目录>>IDS的检测测技术>>其它检测技术术遗传算法的基基本原理是首首先定义一组组入侵检测指指令集，这些些指令用于检检测出正常或或异常的行为为。指令中包包含若干字符符串，所有的的指令在定义义初期的检测测能力都很有有限，IDS对这些指令令逐步地进行行训练，促使使指令中的字字符串片段发发生重组，以以生成新的字字符串指令。。再从新的指指令中经过测测试筛选出检检测能力最强强的部分指令令，对它们进进行下一轮的的训练。如此此反复，使检检测指令的检检测能力不断断提高，训练练过程即可结结束，此时这这些指令已经经具备一定的的检测能力，，IDS可以以使用它们进进行网络入侵侵检测。目前前对遗传算法法的研究还处处于实验阶段段。12/28/202252免疫技术目录>>IDS的检测测技术>>其它检测技术术免疫技术应用用了生物学中中的免疫系统统原理。处于于网络环境中中的主机之所所以受到入侵侵，是因为主主机系统本身身以及所运行行的应用程序序存在着各种种脆弱性因素素，网络攻击击者正是利用用这些漏洞侵侵入到主机系系统中的；在在生物系统中中同样存在着着各种脆弱性性因素，因此此会受到病毒毒、病菌的攻攻击。而生物物体拥有免疫疫系统来负责责检测和抵御御入侵，免疫疫机制包括特特异性免疫和和非特异性免免疫。特异性性免疫针对于于特定的某种种病毒，非特特异性免疫可可用于检测和和抵制以前从从未体验过的的入侵类型。。入侵检测免免疫技术受免免疫系统原理理的启发，通通过学习分析析已有行为的的样本来获得得识别不符合合常规行为的的能力。12/28/202253IDS的设置目录IDS是网络络安全防御系系统的重要组组成部分。IDS的设置置影响着IDS在整个网网络安全防御御系统中的地地位和重要程程度。目前大大部分的入侵侵检测技术都都需要对网络络数据流进行行大量的分析析运算，在高高速网络中，，一个不经过过配置的入侵侵检测设备，，在不进行筛筛选和过滤的的情况下，无无法很好地完完成对受保护护网络的有效效检测。3之112/28/202254IDS的设置置步骤骤目录确定入入侵检检测需需求设计IDS在网网络中中的拓拓扑结结构配置IDSIDS磨合合IDS的使使用和和自调调节3之之212/28/202255设置步步骤图图示目录1.确确定需需求2.设设计拓拓扑3.配配置系系统4.磨磨合调调试5.使使用系系统确定安安全需需求完成系系统配配置实现拓拓扑磨合达达标根据设设计拓拓扑改改变重重新确确定需需求根据运运行结结果调调整相相关参参数网络拓拓扑变变更或或安全全更新新3之之312/28/202256IDS的部署目录基于网络络IDS的部署署基于主机机IDS的部署署12/28/202257基于网络络IDS的部署目录>>IDS的的部署基于网络络的IDS可以以在网络络的多个个位置进进行部署署（这里里的部署署主要指指对网络络入侵检检测器的的部署））。根据据检测器器部署位位置的不不同，IDS具具有不同同的工作作特点。。用户需需要根据据自己的的网络环环境以及及安全需需求进行行网络部部署，以以达到预预定的网网络安全全需求。。2之之112/28/202258部署位置置目录>>IDS的的部署Internet边界路由由器管理子网一般子网内部WWW重点子网DMZ区区域内部工作作子网部署一部署二部署三部署四2之之212/28/202259部署一：：外网入入口目录>>IDS的的部署>>部署位置置外网入口口部署点点位于防防火墙之之前，入入侵检测测器在这这个部署署点可以以检测所所有进出出防火墙墙外网口口的数据据，可以以检测到到所有来来自外部部网络的的可能的的攻击行行为并进进行记录录。2之之112/28/202260特点点目录>>IDS的的部署>>部署位置置优点可以对针针对目标标网络的的攻击进进行计数数，并记记录最为为原始的的攻击数数据包；；可以记录录针对目目标网络络的攻击击类型。。缺点由于入侵侵检测器器本身性性能上的的局限，，该部署署点的入入侵检测测器目前前的效果果并不理理想；对于进行行NAT的内部部网来说说，入侵侵检测器器不能定定位攻击击的源/目的地地址，系系统管理理员在处处理攻击击行为上上存在一一定的困困难。2之之212/28/202261部署二：内网网主干目录>>IDS的部署署>>部署位置内网主干部署署点是最常用用的部署位置置，在这里入入侵检测器主主要检测内网网流出和经过过防火墙过滤滤后流入内网网的网络数据据。在这个位位置，入侵检检测器可以检检测所有通过过防火墙进入入的攻击以及及内部网向外外部的不正常常操作，并且且可以准确地地定位攻击的的源和目的，，方便系统管管理员进行针针对性的网络络管理。2之112/28/202262特点目录>>IDS的部署署>>部署位置优点检测大量的网网络通信提高高了检测攻击击的识别可能能；检测内网可信信用户的越权权行为；实现对内部网网络信息的检检测。缺点入侵检测器不不能记录下所所有可能的入入侵行为，因因为已经经过过防火墙的过过滤。2之212/28/202263部署三：DMZ区目录>>IDS的部部署>>部署位置DMZ区部部署点在DMZ区的的总口上，，这是入侵侵检测器最最常见的部部署位置。。在这里入入侵检测器器可以检测测到所有针针对用户向向外提供服服务的服务务器进行攻攻击的行为为。对于用用户来说，，防止对外外服务的服服务器受到到攻击是最最为重要的的。由于DMZ区中中的各个服服务器提供供的服务有有限，所以以针对这些些对外提供供的服务进进行入侵检检测，可以以使入侵检检测器发挥挥最大的优优势，对进进出的网络络数据进行行分析。由由于DMZ区中的服服务器是外外网可见的的，因此在在这里的入入侵检测也也是最为需需要的。2之112/28/202264特点目录>>IDS的部部署>>部署位置优点检测来自外外部的攻击击，这些攻攻击已经渗渗入过第一一层防御体体系；可以容易地地检测网络络防火墙的的性能并找找到配置策策略中的问问题；DMZ区通通常放置的的是对内外外提供服务务的重要的的服务设备备，因此，，所检测的的对象集中中于关键的的服务设备备；即使进入的的攻击行为为不可识别别，IDS经过正确确的配置也也可以从被被攻击主机机的反馈中中获得受到到攻击的信信息。2之212/28/202265部署署四四：：关关键键子子网网目录录>>IDS的的部部署署>>部署署位位置置在内内部部网网中中，，总总有有一一些些子子网网因因为为存存在在关关键键性性数数据据和和服服务务，，需需要要更更严严格格的的管管理理，，例例如如：：资资产产管管理理子子网网、、财财务务子子网网、、员员工工档档案案子子网网等等，，这这些些子子网网是是整整个个网网络络系系统统中中的的关关键键子子网网。。通通过过对对这这些些子子网网进进行行安安全全检检测测，，可可以以检检测测到到来来自自内内部部以以及及外外部部的的所所有有不不正正常常的的网网络络行行为为，，这这样样可可以以有有效效地地保保护护关关键键的的网网络络不不会会被被外外部部或或没没有有权权限限的的内内部部用用户户侵侵入入，，造造成成关关键键数数据据泄泄露露或或丢丢失失。。由由于于关关键键子子网网位位于于内内网网的的内内部部，，因因此此流流量量相相对对要要小小一一些些，，可可以以保保证证入入侵侵检检测测器器的的有有效效检检测测。。2之112/28/202266特点目录>>IDS的部署署>>部署位置优点集中资源用于于检测针对关关键系统和资资源的来自企企业内外部的的攻击；将有限的资源源进行有效部部署，获取最最高的使用价价值。2之212/28/202267基于主机IDS的部署目录>>IDS的部署署基于主机的IDS主要安安装在关键主主机上，这样样可以减少规规划部署的花花费，使管理理的精力集中中在最重要最最需要保护的的主机上。同同时，为了便便于对基于主主机的IDS的检测结果果进行及时检检查，需要对对系统产生的的日志进行集集中。通过进进行集中的分分析、整理和和显示，可以以大大减少对对网络安全系系统日常维护护的复杂性和和难度。12/28/202268产品—免费目录6之112/28/202269产品—商业目录CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I6之212/28/202270产品品—国国内目录6之之3启明星星辰安氏金诺瑞星……12/28/202271资源源目录6之之412/28/202272发展方方向目录6之之5分布式式入侵侵检测测针对分分布式式攻击击的检检测方方法；；使用分分布式式的方方法来来检测测分布布式的的攻击击，关关键技技术为为检测测信息息的协协同处处理与与入侵侵攻击击的全全局信信息提提取。。智能化入入侵检测测使用智能能化的手手法也实实现入侵侵检测，，现阶段段常用的的有神经经网络、、模糊算算法、遗遗传算法法、免疫疫原理等等技术。。全面的安安全防御御方案采用安全全工程风风险管理理的理论论来处理理网络安安全问题题，将网网络安全全做为一一个整体体工程来来处理，，从管理理、网络络结构、、防火墙墙、防病病毒、入入侵检测测、漏洞洞扫描等等多方面面对网结结进行安安全分析析。12/28/202273网络安全全防范体体系示意意图目录6之6Internet路由器管理平台台安全监控控设备防火墙IDS防病毒服服务器内部网备份系统统网络隐患患扫描系系统陷阱机取证系统统12/28/2022749、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Wednesday,December28,202210、雨中黄叶叶树，灯下下白头人。。。21:53:4821:53:4821:5312/28/20229:53:48PM11、以我独沈久久，愧君相见见频。。12月-2221:53:4821:53Dec-2228-Dec-2212、故人江海别别，几度隔山山川。。21:53:4821:53:4821:53Wednesday,December28,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2221:53:4821:53:48December28,202214、他乡生生白发，，旧国见见青山。。。28十十二月20229:53:48下午午21:53:4812月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月229:53下下午