文档介绍:启明星辰客户产品培训-
培训讲义
入侵检测系统原理
,日志维护与常见问题
第一部分
入侵检测系统原理
IDS的作用
在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统
监控室=控制中心
Card Key
监控前门和保安
监控屋内人员
监控***
监控楼外
IDS的安全职责
实时检测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文。
安全审计:通过对IDS系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据
(注意和审计产品的不同)
IDS的检测方法
目前有以下两种检测方法
误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录匹配时,系统就认为这种行为是入侵
异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
目前商用的基本都是第一种,第二种在实验环境中有应用。
基于网络的IDS
网络IDS的基本结构
探测引擎
引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通讯等功能
控制中心
控制中心的主要功能为:
通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等