信息安全基礎(chǔ)InformationSecurityFundamentals6.2IDS與IPS網(wǎng)絡(luò)安全產(chǎn)品本節(jié)內(nèi)容IDS的基本概念I(lǐng)DS與IPS的關(guān)系IPS的基本概念1.IDS的基本概念企業(yè)局域網(wǎng)中常見的保護措施（1）對內(nèi)網(wǎng)加以隔離，把內(nèi)網(wǎng)保護起來（防火墻，F(xiàn)irewall）。（2）動態(tài)監(jiān)控和跟蹤內(nèi)網(wǎng)遭受的各種攻擊并做出快速反應(yīng)（入侵檢測，IDS和入侵防御，IPS）。（3）構(gòu)建公用骨干網(wǎng)，特別是Internet連接而成的邏輯上的虛擬子網(wǎng)（VirtualPersonnelNetwork，VPN）。（4）了解攻擊者的方法、工具和意圖（“密罐”技術(shù)，HoneyPot）1.IDS的基本概念入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是靜態(tài)安全防御技術(shù)的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。1.IDS的基本概念現(xiàn)今流行的防火墻技術(shù)的局限性主要表現(xiàn)在：防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能主動跟蹤入侵者。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者該類程序附在電子郵件上傳輸。為什么需要入侵檢測系統(tǒng)？1.IDS的基本概念入侵檢測技術(shù)作為近20年來出現(xiàn)的一種積極主動的網(wǎng)絡(luò)安全技術(shù)，是P2DR模型的一個重要組成部分。P2DR模型是美國ISS公司提出的，他是動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR模型是在整體安全策略的控制和指導(dǎo)下，在綜合運用防護工具（如防火墻、操作系統(tǒng)身份認證、加密等）的同時，利用檢測工具（如漏洞評估、入侵檢測等）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。防護、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。1.IDS的基本概念與傳統(tǒng)的加密和訪問控制等常用的安全方法相比，入侵檢測系統(tǒng)IDS是種全新的計算機安全措施，它不僅可以檢測來自網(wǎng)絡(luò)外部的入侵行為，同時也可以檢測來自網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動和誤操作，有效地彌補了防火墻的不足，被稱為防火墻之后的第二道安全閘門。1.IDS的基本概念入侵檢測系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護技術(shù)。

IDS是計算機網(wǎng)絡(luò)中的監(jiān)視系統(tǒng)，它通過實時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。1.IDS的基本概念事件產(chǎn)生器：它的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析數(shù)據(jù)，發(fā)現(xiàn)危險、異常事件，通知響應(yīng)單元響應(yīng)單元：對分析結(jié)果作出反應(yīng)事件數(shù)據(jù)庫：存放各種中間和最終數(shù)據(jù)入侵檢測系統(tǒng)的架構(gòu)1.IDS的基本概念入侵檢測過程1.IDS的基本概念入侵檢測系統(tǒng)的部署——基于網(wǎng)絡(luò)的IDS

1.IDS的基本概念入侵檢測系統(tǒng)的部署——基于主機的IDS

1.IDS的基本概念入侵檢測系統(tǒng)的局限性對用戶知識要求較高，配置、操作和管理使用較為復(fù)雜網(wǎng)絡(luò)發(fā)展迅速，對入侵檢測系統(tǒng)的處理性能要求越來越高，現(xiàn)有技術(shù)難以滿足實際需要高虛警率，用戶處理的負擔(dān)重由于警告信息記錄的不完整，許多警告信息可能無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果在應(yīng)對對自身的攻擊時，對其他數(shù)據(jù)的檢測也可能會被抑制或受到影響2.IPS的基本概念入侵檢測系統(tǒng)的局限性入侵防御系統(tǒng)(IPS:IntrusionPreventionSystem)是一種網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件和防火墻的補充。通過分析網(wǎng)絡(luò)流量，檢測入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應(yīng)方式，實時地中止入侵行為，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。2.IPS的基本概念入侵防御系統(tǒng)的接入2.IPS的基本概念入侵防御系統(tǒng)的必要性2.IP