PPT关于入侵检测技术

入侵检测技术PPT：入侵的定义：任何试图危害资源的完整性、可信度和可获取性的动作。Salvatore[5]从访问方式上把入侵分为四种：DOS(denial of service)拒绝服务攻击，如ping of death,teardrop等；R2L(unauthorized access from a remote machine)远程未授权访问，如密码破译等；U2R(unauthorized access to local superuser privileges by local unprivileged user)本地非授权用户成为超级用户未授权访问，如各种缓冲区溢出攻击等；PROB探测，如portscan等。 入侵检测系统（IDS）指从网络系统中的若干关键点收集信息并进行分析，从而发现网络系统中是否有违反安全策略的行为和被攻击的对象，并做出适当的响应。它既能检测非经授权而使用计算机系统的用户（hackers），也能检测那些虽有合法的权限，却滥用系统的用户（insider threat）。 入侵检测被认为是防火墙之后的第二道防线，是动态安全技术的核心技术之一。一个完善的入侵检测系统必须具有下列特征：⑴经济性。为了保证系统安全策略的实施而引入的入侵检测系统必须保证不能妨碍系统的正常运行。⑵时效性。指必须及时地发现各种入侵行为，能在攻击行为发生的过程中检测到。⑶安全性。入侵检测系统自身必须安全，如果系统自身的安全得不到保障，首先意味着信息的无效，更严重的是入侵者控制了入侵检测系统而获得了对系统的控制权。⑷可扩展性。首先是机制与数据的分离，即在现有机制不变的前提下能够对新的攻击进行检测；其次是体系结构的可扩充性，即在必要的时候可以在不对系统的整体结构进行修改的前提下对检测手段进行加强，以能够检测到新的攻击。