>>>>>>点击了解更多网络管理员网络课堂

       >>>>>>点击了解更多网络管理员考试教材

       >>>>>>希赛2017上半年软考公开课，解读考试趋势，报名不再迷茫

      下面是希赛小编为大家整理的软考网络管理员知识点提炼之入侵检测技术，希望能帮助学友们。

    入侵检测技术

       利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

       (1)入侵者可寻找防火墙背后可能敞开的后门。

       (2)入侵者可能就在防火墙内。

       (3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

       入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

       实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

       入侵检测系统可分为两类：

       1.基于主机

       2.基于网络

       基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

       基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：

       上述模型由四个部分组成：

       入侵检测系统的基本模型

       入侵检测系统的基本模型

       (1)Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

       (2)Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

       (3)countermeasure执行规定的动作。

       (4)Storage保存分析结果及相关数据。

       基于主机的安全监控系统具备如下特点：

       (1)精确，可以精确地判断入侵事件。

       (2)高级，可以判断应用层的入侵事件。

       (3)对入侵时间立即进行反应。

       (4)针对不同操作系统特点。

       (5)占用主机宝贵资源。

       基于网络的安全监控系统具备如下特点：

       (1)能够监视经过本网段的任何活动。

       (2)实时网络监视。

       (3)监视粒度更细致。

       (4)精确度较差。

       (5)防入侵欺骗的能力较差。

       (6)交换网络环境难于配置。

       基于主机及网络的入侵监控系统通常均可配置为分布式模式：

       (1)在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

       (2)在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

       选择入侵监视系统的要点是：

       (1)协议分析及检测能力。

       (2)解码效率(速度)。

       (3)自身安全的完备性。

       (4)精确度及完整度，防欺骗能力。

       (5)模式更新速度。

       返回目录：软考网络管理员知识点提炼之第15章网络安全技术

       希赛网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。