入侵检测技术
1.什么是入侵检测技术
入侵检测技术是指一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵检测技术发展的目的
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
3.入侵检测技术的相关方式
1、监视、分析用户及系统活动;
2、系统构造和弱点的审计;
3、识别反映已知进攻的活动模式并向相关人士报警;
4、异常行为模式的统计分析;
5、评估重要系统和数据文件的完整性;
6、操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4.入侵检测技术的运用
1、使用入侵检测系统和防火墙共同构建网络安全防护体系有多种组合方法
-入侵检测引擎放在防火墙之外
-入侵检测引擎放在防火墙之内
-防火墙内外都装有入侵检测引擎
-将入侵检测引擎安装在其它关键位置
2、系统防毒
制定系统的防病毒策略
部署多层防御战略
定期更新防病毒定义文件和引擎
定期备份文件
预订可发布新病毒威胁警告的电子邮件警报服务
为全体职员提供全面的防病毒培训
3、邮件服务器防毒
(1) 拦截受感染的附件
(2) 安排全面随机扫描
(3) 试探性扫描
(4) 用防病毒产品中的病毒发作应对功能
(5) 重要数据定期存档
4、身份认证
目的是确保网络资源按照企业的安全策略被正确的用户访问。
-这项技术的应用实际上是在网络资源和用户之间建立了某种受信任的访问控制矩阵。
-与数字签名的不同点:
前者侧重在识别和判定用户的身份,防止用户身份的伪造;
后者侧重在如何保证网络的资源被正确的用户按正确的方法使用。