文档介绍：网络入侵与入侵检测
第一页，共108页
第9章 入侵检测系统
本章要点
基本的入侵检测知识
入侵检测的基本原理和重要技术
几种流行的入侵检测产品
第二页，共108页
2021/10/23
入侵检测系统是什么
入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。
入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。
第三页，共108页
2021/10/23
理解入侵检测系统(IDS)
监控室=控制中心
后门
保安=防火墙
摄像机=探测引擎
Card Key
第四页，共108页
2021/10/23
入侵检测概述
首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过，不能检查出经过它的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。
入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。
第五页，共108页
2021/10/23
入侵检测概念
1. 入侵检测与P2DR模型
P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)的缩写。其体系框架如图6-1所示。
其中各部分的含义如下。
1) 安全策略(Policy)
2) 防护(Protection)
3) 检测(Detection)
4) 响应(Response)
第六页，共108页
2021/10/23
入侵检测概念
2. 入侵检测的作用
入侵检测技术是通过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出非法用户入侵和合法用户滥用资源的行为，并做出适当反应的网络安全技术。
它在传统的网络安全技术的基础上，实现了检测与反应，起主动防御的作用。这使得对网络安全事故的处理，由原来的事后发现发展到了事前报警、自动响应，并可以为追究入侵者的法律责任提供有效证据。
第七页，共108页
2021/10/23
入侵检测概念
3. 入侵检测的概念
入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。
入侵检测系统的作用如图6-2所示。
第八页，共108页
2021/10/23
入侵检测概念
4. 入侵检测系统的发展历史
1980年4月，James Anderson为美国空军作了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告，这份报告被公认为入侵检测技术的开山鼻祖。
1987年，乔治敦大学的 Dorothy Denning提出了第一个实时入侵检测系统模型，取名为IDES。
1988年的Morris蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。
1990年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检测系统都是基于主机的，他们对于活动的检查局限于操作系统审计踪迹数据及其他以主机为中心的数据源。
从20世纪90年代至