(1.14)--4.2入侵防御概述计算机信息安全.ppt

《(1.14)--4.2入侵防御概述计算机信息安全.ppt》由会员分享，可在线阅读，更多相关《(1.14)--4.2入侵防御概述计算机信息安全.ppt（19页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、入侵防御概述入侵防御概述1学习目标可以说出IPS工作过程知道IPS的分类方法图示IPS数据分析技术的基本原理内内 容容12分类入侵防御概述入侵检测概述入侵检测IDS终止入侵IPS功能组成入侵检测概述收集的信息统称，包括网络报文、系统日志、应用程序日志、程序或命令的执行结果从整个网络系统中获得事件，把这些事件格式转化为统一的信息格式GIDO后，传送给其它组件从其它组件获得GIDO，经过分析后，生成新的GIDO传送给其它组件。它是CIDF的核心组件对事件分析器的分析结果做出反应的响应单元，可以终止进程、复位连接和修改文件属性存放各种数据的存储系统，可以是复杂数据库，也可以是本文文件入侵防御概述监视

2、系统运行监视系统配置监视网络通信入侵阻止结果响应数据分析信息收集入侵防御概述结果响应IDS把分析结果记录在日志中并产生报警IPS可以根据报警与防火墙和路由器联动数据分析特征检测异常检测完整性分析信息收集系统和应用程序日志目录和文件的修改程序行为的异常改变网络通信的异常报文物理形式的异常访问入侵防御概述模式匹配状态迁移专家系统特征检测统计分析操作模型、方差、时序分析免疫技术数据挖掘异常检测入侵防御概述以配置文件的形式对要监视的对象进行预先的摘要计算定期对这些对象重新计算哈希摘要并比较事后分析完整性分析示例sigcheckTripwireAIDEsigcheck支持多种哈希摘要Tripwire不能

3、抵御攻击也不能防止关键文件的修改检测文件是否被修改以及哪些文件被修改高级入侵检测环境（AIDE）文档的完整性内内 容容12分类入侵防御概述分类基于主机、基于网络或混合型误用检测和异常检测集中式、分布式离线分析、在线分析被动响应、主动响应基于主机的IPS可精确判断入侵事件，不受网络加密的影响会占据主机的宝贵CPU和内存资源网络连接主机文件系统进程数据来源基于网络的IPS监听某个具体的主机通信监听整个网段特征检测为主，异常检测为辅软件或硬件实现精确度不如HIPS，但是可以保护整个网络总 结分类入侵防御概述想一想入侵和防御是此消彼长，共同发展的，双方都不断学习对方的经验和方法，以期更好的抵抗对方。网络一直是一个没有硝烟的战场，但是也是我们不能丢失的阵地。Thanks for your attention!