信息安全技术信息安全技术入侵检测入侵检测中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(CNITSECCNITSEC))www.itsec.gov.cnwww.itsec.gov.cnCISP-2CISP-2-入侵检测(培训样稿)-入侵检测(培训样稿)cnitseccnitsec深层防御体系及深层防御体系及IDSIDS的作用的作用IDSIDS的实现方式的实现方式IDSIDS的分析方式的分析方式IDSIDS的结构的结构入侵检测的困惑入侵检测的困惑第四代入侵检测技术第四代入侵检测技术入侵检测的新发展入侵检测的新发展内容提要内容提要cnitseccnitsec•深层防御体系及IDS的作用•IDS的实现方式•IDS的分析方式•IDS的结构•入侵检测的困惑•第四代入侵检测技术•入侵检测的新发展内容提要内容提要cnitseccnitsec一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒绝、(允许、拒绝、监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPUDPBlockBlockHostCHostCHostBHostBTCPTCPPassPassHostCHostCHostAHostADestinationDestinationProtocolProtocolPermitPermitSourceSource根据访问控制规则决定进出网络的行为防火墙的作用防火墙的作用cnitseccnitsec防火墙的局限防火墙的局限%c1%1c%c1%1cDirc:\cnitseccnitsec防火墙的局限防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护!cnitseccnitsec什么是入侵行为什么是入侵行为入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。cnitseccnitsec什么是入侵检测系统什么是入侵检测系统IDS(IntrusionDetectionSystem)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。cnitseccn...