网络安全课件 米楠-入侵检测技术与系统综述

入侵检测技术与系统综述1120112082米楠IDS(intrusiondetectionsystem)1234入侵检测系统分类入侵检测系统通用模型入侵检测技术入侵防御系统（IPS)5入侵检测系统概述

入侵检测系统概述1入侵检测系统（intrusiondetectionsystem，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。定义形象来说…假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测系统的基本结构1信息收集2信息分析3结果处理

入侵检测系统分类2按照分析方法（检测方法）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。特征检测：关注的是系统本身的行为，它假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

入侵检测系统分类2按照数据来源基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISSRealSecureNetworkSensor、CiscoSecureIDS、CAe-TrustIDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISSRealSecureOSSensor、Emeraldexpert-BSM、金诺网安KIDS等。

入侵检测系统通用模型

3主要由6个主要组件构成：（1）主体（Subjects）：在目标系统上进行活动的实体，如用户；（2）对象（Objects）：系统资源，如文件、命令、设备等；（3）审计记录（Auditrecords）：由目标系统产生的主体对对象所进行或试图进行活动（如用户登录、执行命令、文件存取等）的信息；（4）活动记录（ActivityProfiies）：是主体正常行为信息，构成主体正常行为模型；（5）异常记录（Anomaiyruies）：表示主体的异常行为；（6）活动规则（Activityruies）：当条件满足时更新活动记录，检测异常行为，并且产生异常报告入侵检测技术模式发现技术基于知识的检测技术异常发现技术基于行为的检测技术完整性分析技术主要关注某个文件或对象是否被更改4IPS(IntrusionPreventionSystem)5

IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。概述对比绝大多数IDS系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而IPS则倾向于提供主动防护，其设计