我国也有多家企业通过最初的技术引进，逐渐发展成 自主研发。
6.2入侵检测
第2章 第6章
6.2.3入侵检测 方法
1）基于主机 一般主要使用操作系统的审计、跟踪日志作为 数据源，某些也会主动与主机系统进行交互以 获得不存在于系统日志中的信息以检测入侵。 这种类型的检测系统不需要额外的硬件．对网 络流量不敏感，效率高，能准确定位入侵并及 时进行反应，但是占用主机资源，依赖于主机 的可靠性，所能检测的攻击类型受限。不能检 测网络攻击。
第2章 第6章
2）模型的发展 • 1984年-1986年，乔治敦大学的Dorothy Denning和
SRI/CSL（SRI公司计算机科学实验室）的 PeterNeumann研究出了一种实时入侵检测系统模型， 取名为IDES（入侵检测专家系统）。
• 1988年，SRI/CSL的Teresa Lunt等改进了Denning的入侵 检测模型，并研发出了实际的IDES。
主体的多层次全方位综合体。
第2章 第6章
6.2入侵检测
6.2入侵检测
入侵检（Intrusion Detection），顾名思 义，就是对入侵行为 的发觉。他通过对计 算机网络或计算机系 统中若干关键点收集 信息并对其进行分析， 从中发现网络或系统 中是否有违反安全策 略的行为和被攻击的 迹象。
6.2.1入侵检测概述
6.5.1防火墙概述 6.5.2常用防火墙技术 6.5.3防火墙的性能指标 6.5.4防火墙的发展与局限性
网络安全 概述
安全扫描 技术
防火墙技 术
第2章 第6章
网络安全技术
入侵检测
6.2.1入侵检测概述 6.2.2入侵检测技术的发展 6.2.3入侵检测方法 6.2.4入侵检测的发展趋势
隔离技术
6.4.1隔离技术概述 6.4.2隔离技术的发展 6.4.3网络隔离技术的原理 6.4.4网络隔离技术的分类
6.1.2 网络安全 面临的威胁
第2章 第6章
6.1网络安全概述
6.1.3网络安全 体系结构
第2章 第6章
6.1网络安全概述
图6-1 网络各层安全结构
6.1.4网络安全技 术发展趋势
第2章 第6章
6.1网络安全概述
图6-2 网络安全威胁比较图
6.1.4网络安全技 术发展趋势
第2章 第6章
6.1网络安全概述
• 1）概念提出 1980年4月，JnamesP.Aderson为美
国 空军做了一份题为“Computer
Security ThreatMonitoring and Surveillance”（计算机安全威胁监控
与监视）的技术报告，第一次详细的 阐述了入侵检测的概念
6.2.2入侵检测技 术的发展
6.2入侵检测
6.1网络安全概述
6.1.1网络安全的概念及重要性
1、
是指网络系统的硬件、软件及其系统中的数据受到
保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，
系统连续可靠正常地运行，网络服务不中断。
包含网络设备安全、网络信息安全、网络软件安全。
从广义来说，凡是涉及网络信息的保密性、完整性、可用性、 真实性和可控性的相关技术和理论，都是网络安全的研究领域。
第2章 第6章
6.3安全扫描技术
6.3.2端口扫描技术
端口扫描是指某些别有用心的人发送一组端口扫描 消息，试图以此侵入某台计算机，并了解其提供的计 算机网络服务类型（这些网络服务均与端口号相关）。
扫描器是一种自动检测远程或本地主机安全性弱点 的程序。
第2章 第6章
6.3安全扫描技术
6.3.2端口扫描技术
虚拟专用 网
6.6.1虚拟专用网概述 6.6.2虚拟专用网的关键技术 6.6.3用虚拟专用网解决互联网的安全问题
6.7.1网络攻击概述 6.7.2网络攻击的目的与步骤 6.7.3常见网络攻击与防范
网络攻击
计算机病 毒
6.8.1计算机病毒概述 6.8.2计算机病毒原理 6.8.3反病毒技术 6.8.4邮件病毒及其防范
对一个成功的入侵检测系统来讲，它不但可使系 统管理员时刻了解网络系统（包括程序、文件和硬件 设备等）的任何变更，还能给网络安全策略的制订提 供指南。
6.2入侵检测
第2章 第6章
6.2.2入侵检测技 术的发展
从实验室原型研
究到推出商业化产 品、走向市场并获 得广泛认同，入侵 检测走过了20多年 的历程。
第2章 第6章
6.3安全扫描技术
6.3.3漏洞扫描技术
漏洞扫描的功能: 1.定期的网络安全自我检测、评估 2.安装新软件、启动新服务后的检查 3.网络建设和网络改造前后的安全规划评估和
能够进行端口扫描的软件称为端口扫描器，不同的扫描器， 扫描采用的技术、扫描算法、扫描效果各不相同。根据扫描 过程和结果不同，可以把端口扫描器分成几个类别：
1、扫描软件运行环境可以分为Unix/Linux系列扫描 器、Windows系列扫描器、其它操作系统下扫描器。
2、 根据扫描端口的数量可以分为多端口扫描器和 专一端口扫描器。
信息安全技术与实践
6 P A R T
-------------网络安全技术
6.1.1网络安全的概念及重要性 6.1.2网络安全面临的威胁 6.1.3网络安全体系结构 6.1.4网络安全技术发展趋势
6.3.1安全扫描概述 6.3.2端口扫描技术 6.3.3漏洞扫描技术 6.3.4安全扫描技术的发展趋势
6.2.2入侵检测技 术的发展
6.2入侵检测
第2章 第6章
3）技术的进步 • 从20世纪90年代到现在，入侵检测系统的研发呈现出
百家争鸣的繁荣局面，并在智能化和分布式两个方向 取得了长足的进展。SRI/CSL、普渡大学、加州戴维斯 分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新
墨西哥大学等机构在这些方面代表了当前的最高水平。
• 1990年时入侵检测系统发展史上十分重要的一年。这 一年，加州大学戴维斯分校的L.T.Heberlein等开发出了 NSM(Network Security Monitor)。
• 1988年的莫里斯蠕虫事件发生后，开展对分布式入侵 检测系统（DIDS）的研究，将基于主机和基于网络的 检测方法集成到一起。
4)随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更 新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不 足。
5）计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的 应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、
网络安全技术的发展是随着 网络技术的进步而进步的， 网络发展对安全防护水平提 出更高的要求，从而促进网
络安全技术的发展
我国面临的网络安全风险并 没有很大程度地降低，依旧 面临传统和非传统的安全威 胁，受到的网络攻击也呈上
升趋势。
网络安全技术如同网络的大门和墙壁， 是以对访问进行排查、对系统进行清 理和搜检及对网络权限的部分限制为
Байду номын сангаас
6.2.3入侵 检测方法
6.2入侵检测
第2章 第6章
3）分布式 这种入侵检测系统一般为分布式结构，由多个部件组成， 在关键主机上采用主机入侵检测，在网络关键节点上采 用网络入侵检测，同时分析来自主机系统的审计日志和 来自网络的数据流，判断被保护系统是否受到攻击。
6.2.4入侵检测 的发展趋势
6.2入侵检测
3、根据向用户提供的扫描结果可以分为只扫开关 状态和扫描漏洞两种扫描器。
4、根据所采用的技术可以分为一般扫描器和特殊 扫描器。
第2章 第6章
6.3安全扫描技术
6.3.3漏洞扫描技术
漏洞扫描是指 基于漏洞数据库， 通过扫描等手段 对指定的远程或 者本地计算机系 统的安全脆弱性 进行检测，发现 可利用漏洞的一 种安全检测（渗 透攻击）行为。
是一门涉及计算机科学、网络技术、通信技术、密码 技术、信息安全技术、应用数学、数论、信息论等的综合性学 科。
6.1网络安全概述
第2章 第6章
6.1.1网络安全的概念及重要性
计算机网络安全的重要性：
1）计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组 织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。
6.3.1安全扫描概述
网络安全技术中，另一类重要技术为安全扫描技术。 安全扫描技术与防火墙、安全监控系统互相配合能够 提供很高安全性的网络。
基于网络的安全扫描主要扫描设定网络内的服务器、 路由器、网桥、变换机、访问服务器、防火墙等设备 的安全漏洞，并可设定模拟攻击，以测试系统的防御 能力。通常该类扫描器限制使用范围（IP地址或路由器 跳数）。
第2章 第6章
1）分布式入侵检测 2）智能化 检测 3）应用层入侵检测 4）高速网络的入侵检测 5）入侵检测系统的标准化
6.3安全扫描技术
第2章 第6章
6.3安全扫描技术
安全扫描技 术是指手工地 或使用特定的 自动软件工具-安全扫描器， 对系统风险进 行评估，寻找 可能对系统造 成损害的安全 漏洞。
加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并 且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
6）从认识论的高度看，人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问 题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不 安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。
2）随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大， 特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐 含的缺陷、失误都能造成巨大损失。