***检测系统

我们来学学***检测

一、什么是***检测？

如，***网站、QQ|MSN密码被盗等

***是指某人尝试进入一个系统，访问未经授权的资源，或者利用系统漏洞获得系统的最高权限等的非法行为。

有两类***者，分别是外部***和内部***者。虽然大部分的尝试都发生在企业内部或由企业内部***造成的，但常用的安全措施，如防火增通常都部署在外部网络和内部网络之间，以有效地保护内部网络。

***检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对方系统的闯入的企图。

***检测技术是为保证计算机系统安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机中违反安全策略行为的技术。

进行***检测系统的软件与硬件的组合便是***检测系统（Intrusion Detection system，简称IDS）

二、***检测系统工作原理

1、信息收集

2、信号分析：又包括以下这几种

    *模式匹配

    *统计分析

    *完整性分析

3、实时记录、报警或有限反击

三、***检测系统分类

1、基于主机的***检测

主机型***检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所有在的主机收集进行分析

2、基于网络的***检测

往往将一台机子的网卡设于混杂模式，对所有本网段的数据包进行信息收集，并进行判断。一般网络型***检测系统担负着保护整个网段的任务

3、两种方式的比较

主机IDS与网络IDS可以相互补充，互补各自的缺陷，通常来说最有效的IDS部署方法是首先使用网络IDS，它易于扩展、有较广的网络覆盖范围。此外，不需要过多的机构内部协调，对网络和主机基本没有影响或者影响极小。如果只有少量的服务器需要防护，可采用主机IDS

四、***检测有哪些新产品

1、Computer Associates 公司的Session Wall-3/eTrust Intrusion Detection

2、Internet Security System公司的RealSecure

3、启明星辰天阗网络***检测系统

4、Snort

注：Snort是一个免费的轻量级网络***检测系统

 五、***检测系统的发展趋势

IDS另一个不足之处在于，其对于***的检测是根据其***知识库中的积累的***特征规则集来决定的。这就需要管理员定期更新规则集，或者自己撰定规则集，这对网络安全管理员提出了非常高的要求

为了更好的加强企业网络的防护，有一种新的技术提出来了，那就是***防护系统，简称IPS。***防护系统IPS倾向于提供主动防护，其设计宗旨是 预先对***活动和***性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送后才发出警报。

IPS实现实时检查和阻止***的原理在于IPS拥有数目众多的过滤器，能够防止各种***。当新的***手段发现之后，IPS就会创建一个新的过滤器，IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有***者利用Layer2（介质访问控制）至Layer3或Layer4进行检查，不能检测应用层的内容IPS可以做到逐一字节李检查数据包。所有经过IPS的数据包者被分类，分类的依据是数据包中的报头信息，如源IP地址和目地IP地址、端口号和就用域。每种过滤器负责分析相对应的数据包。