入侵防御系统课件

网络空间信息安全第第9 9章入侵防御系统章入侵防御系统网络空间信息安全第9章入侵防御系统本章主要内容本章主要内容9.1 入侵防御系统概述；入侵防御系统概述；9.2 网络入侵防御系统；网络入侵防御系统；9.3 主机入侵防御系统。主机入侵防御系统。入侵防御系统的作用是检测网络中可能存在的攻击行为，入侵防御系统的作用是检测网络中可能存在的攻击行为，并对攻击行为进行反制。由于攻击手段的多样性和不断并对攻击行为进行反制。由于攻击手段的多样性和不断翻新，采用单一技术和手段是无法检测出所有攻击行为翻新，采用单一技术和手段是无法检测出所有攻击行为的，因此，入侵防御系统也是多个系统的有机集合，每的，因此，入侵防御系统也是多个系统的有机集合，每一个系统各司其职。一个系统各司其职。2第9章 入侵防御系统本章主要内容9.1 入侵防御系统概述；2第9章 入侵防御系统9.1 入侵防御系统概述入侵防御系统概述9.1.1 入侵手段入侵手段9.1.2 防火墙与杀毒软件的局限性防火墙与杀毒软件的局限性9.1.3入侵防御系统分类；入侵防御系统分类；9.1.4 入侵防御系统工作过程；入侵防御系统工作过程；9.1.5 入侵防御系统不足；入侵防御系统不足；9.1.6入侵防御系统发展趋势。入侵防御系统发展趋势。入侵防御系统和防火墙是抵御黑客攻击的两面盾牌，防火入侵防御系统和防火墙是抵御黑客攻击的两面盾牌，防火墙通过控制信息在各个网络间的传输，防止攻击信息到达墙通过控制信息在各个网络间的传输，防止攻击信息到达攻击目标。入侵防御系统通过检测流经各个网段的信息流，攻击目标。入侵防御系统通过检测流经各个网段的信息流，监测对主机资源的访问过程，发现并反制可能存在的攻击监测对主机资源的访问过程，发现并反制可能存在的攻击行为。行为。3第9章 入侵防御系统9.1 入侵防御系统概述9.1.1 入侵手段3第9章 入侵防入侵手段入侵手段1 恶意代码一是可以破坏主机系统，如删除文件；二是可以为黑客非法访问主机信息资源提供通道，如设置后门、提高黑客访问权限等；三是可以泄漏主机系统的重要信息资源。4第9章 入侵防御系统入侵手段1 恶意代码4第9章 入侵防御系统入入侵侵手手段段2 非法访问一是利用操作系统或应用程序的漏洞实现信息资源的访问；二是通过穷举法破解管理员口令，从而实施对主机系统的访问；三是利用恶意代码设置的后门或为黑客建立的具有管理员权限的帐号实施对主机系统的访问。5第9章 入侵防御系统入侵手段2 非法访问5第9章 入侵防御系统入侵手段入侵手段3 拒绝服务攻击一是利用操作系统或应用程序的漏洞使主机系统崩溃，如发送长度超过64KB的IP分组；二是利用协议的固有缺陷耗尽主机系统资源，从而使主机系统无法提供正常服务，如SYN泛洪攻击；三是通过因为植入恶意代码而被黑客控制的主机系统,向某个主机系统发送大量信息流,导致该主机系统连接网络的链路阻塞，从而无法与其他主机正常通信。6第9章 入侵防御系统入侵手段3 拒绝服务攻击6第9章 入侵防御系统防火墙与杀毒软件的局限性防火墙与杀毒软件的局限性1 防火墙的局限性防火墙是一种设置在网络边界，有效控制内网和外网之间信息交换的设备。例如，通过配置访问控制策略，防火墙可以将外网对非军事区中的资源的访问权限设置为只允许读取Web服务器中的Web页面和下载FTP服务器中的文件。但是外网对内网中终端实施的攻击往往是通过防火墙访问控制策略允许的信息交换过程完成的，如通过内网终端访问外网Web服务器时，或通过内网终端接收的邮件植入恶意代码，因此，防火墙已经无法防止来自外网的全部攻击。7第9章 入侵防御系统防火墙与杀毒软件的局限性1 防火墙的局限性7第9章 入侵防御防防火火墙墙与与杀杀毒毒软软件件的的局局限限性性2 杀毒软件的局限性杀毒软件可以检测出感染病毒的文件，删除或隔离病毒，防止病毒发作危害主机系统，但是杀毒软件无法对黑客利用操作系统或应用程序的漏洞实施的攻击予以防范，并且大多数杀毒软件只能检测出已知病毒，即病毒特征包含在病毒库中的病毒，无法检测出未知病毒。8第9章 入侵防御系统防火墙与杀毒软件的局限性2 杀毒软件的局限性8第9章 入侵防入侵防御系统分类入侵防御系统分类入侵防御系统分为主机入侵防御系统和网络入侵防御系统；入侵防御系统分为主机入侵防御系统和网络入侵防御系统；主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；攻击行为、管制流出主机的信息流，保护主机资源；网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源；以此保护重要网络资源；主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。9第9章 入侵防御系统入侵防御系统分类入侵防御系统分为主机入侵防御系统和网络入侵防入侵防御系统工作过程入侵防御系统工作过程网络入侵防御系统工作过程网络入侵防御系统工作过程捕获信息；捕获信息；检测异常信息；检测异常信息；反制异常信息；反制异常信息；报警；报警；登记。登记。10得到流经关键网得到流经关键网段的信息流。段的信息流。异常指包含非法代码，包含非法字段异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。值，与已知攻击特征匹配等。反制是丢弃与异常信息具有相同源反制是丢弃与异常信息具有相同源IP地址，地址，或者相同目的或者相同目的IP地址的地址的IP分组，释放传输分组，释放传输异常信息的异常信息的TCP连接等。连接等。向网络安全管理员报告检测到异常信息流向网络安全管理员报告检测到异常信息流的情况，异常信息流的特征、源和目的的情况，异常信息流的特征、源和目的IP地址，可能实施的攻击等。地址，可能实施的攻击等。记录下有关异常信息流的一切信息，以便记录下有关异常信息流的一切信息，以便对其进行分析。对其进行分析。第9章 入侵防御系统入侵防御系统工作过程网络入侵防御系统工作过程10得到流经关键入侵防御系统工作过程入侵防御系统工作过程主机入侵防御系统工作过程主机入侵防御系统工作过程拦截主机资源访问操作请求和网络信息流；拦截主机资源访问操作请求和网络信息流；采集相应数据；采集相应数据；确定操作请求和网络信息流的合法性；确定操作请求和网络信息流的合法性；反制动作；反制动作；登记和分析。登记和分析。主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。和敏感信息。11第9章 入侵防御系统入侵防御系统工作过程主机入侵防御系统工作过程11第9章 入侵入侵防御系统的不足入侵防御系统的不足主机入侵防御系统是被动防御，主动防御主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不略一致的难度都是主机入侵防御系统的不足；足；网络入侵防御系统能够实现主动防御，但网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。为的检测存在一定的难度。12第9章 入侵防御系统入侵防御系统的不足主机入侵防御系统是被动防御，主动防御是在攻入侵防御系统发展趋势入侵防御系统发展趋势融合到操作系统中融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。是操作系统应该集成的功能。集成到网络转发设备中集成到网络转发设备中所有信息流都需经过转发设备进行转发，因此，所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。转发设备是检测信息流的合适之处。13第9章 入侵防御系统入侵防御系统发展趋势融合到操作系统中13第9章 入侵防御系统9.2 网络入侵防御系统网络入侵防御系统系统结构；系统结构；信息捕获机制；信息捕获机制；入侵检测机制；入侵检测机制；安全策略。安全策略。网络入侵防御系统首先是捕获流经网络的网络入侵防御系统首先是捕获流经网络的信息流，然后对其进行检测，并根据检测信息流，然后对其进行检测，并根据检测结果确定反制动作，检测机制、攻击特征结果确定反制动作，检测机制、攻击特征库和反制动作由安全策略确定。库和反制动作由安全策略确定。14第9章 入侵防御系统9.2 网络入侵防御系统系统结构；14第9章 入侵防御系统系统结构系统结构探测器探测器1处于探测模式，探测模式被动地接收信息流，对其进行处理，发现处于探测模式，探测模式被动地接收信息流，对其进行处理，发现异常时，向安全管理器报警，并视需要向异常信息流的源和目的终端发送异常时，向安全管理器报警，并视需要向异常信息流的源和目的终端发送复位复位TCP链接的控制报文，探测机制需要采用相应捕获机制才能捕获信息流。链接的控制报文，探测机制需要采用相应捕获机制才能捕获信息流。探测器探测器2处于转发模式，转发模式从一个端口接收信息流，对其进行异常检处于转发模式，转发模式从一个端口接收信息流，对其进行异常检测，在确定为正常信息流的情况下，从另一个端口转发出去。测，在确定为正常信息流的情况下，从另一个端口转发出去。15第9章 入侵防御系统系统结构探测器1处于探测模式，探测模式被动地接收信息流，对其信息捕获机制信息捕获机制利用集线器的广播传输功能，从集线器任何端口进利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。入的信息流，将广播到所有其他端口。16利用集线器捕获信息机制利用集线器捕获信息机制第9章 入侵防御系统信息捕获机制利用集线器的广播传输功能，从集线器任何端口进入的信息捕获机制信息捕获机制端口镜像功能是将交换机某个端口（如图中的端口端口镜像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如）作为另一个端口（如图中的端口图中的端口1）的镜像，这样，所有从该端口输出的信息流，都被复制到镜）的镜像，这样，所有从该端口输出的信息流，都被复制到镜像端口，由于镜像端口和其他交换机端口之间的镜像关系是动态的，因此，像端口，由于镜像端口和其他交换机端口之间的镜像关系是动态的，因此，连接在端口连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。的探测器，可以捕获从交换机任意端口输出的信息流。17利用端口镜像捕获信息机制利用端口镜像捕获信息机制第9章 入侵防御系统信息捕获机制端口镜像功能是将交换机某个端口（如图中的端口2）信息捕获机制信息捕获机制跨交换机端口镜像功能是将需要检测的端口和连接探测模式的探测跨交换机端口镜像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的器端口之间交换路径所经过交换机端口划分为一个特定的VLAN；从检测端口进入的信息除了正常转发外，在该特定从检测端口进入的信息除了正常转发外，在该特定VLAN内广播。内广播。18利用跨交换机端口镜像捕获信息机制利用跨交换机端口镜像捕获信息机制第9章 入侵防御系统信息捕获机制跨交换机端口镜像功能是将需要检测的端口和连接探测信息捕获机制信息捕获机制通过分类器鉴别出具有指定源和目的通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的地址、源和目的端口号等属性参数的IP分组；分组；为这些为这些IP分组选择特定的传输路径；分组选择特定的传输路径；虚拟访问控制列表允许这些虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发；分组既正常转发，又从特定传输路径转发；通过特定传输路径转发的通过特定传输路径转发的IP分组到达探测器。分组到达探测器。19虚拟访问控制列表虚拟访问控制列表第9章 入侵防御系统信息捕获机制通过分类器鉴别出具有指定源和目的IP地址、源和目入侵检测机制入侵检测机制攻击特征检测攻击特征检测从已知的攻击信息流中提取出有别于正常信息流的特征信从已知的攻击信息流中提取出有别于正常信息流的特征信息；息；特征信息分为元攻击特征和有状态攻击特征；特征信息分为元攻击特征和有状态攻击特征；元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现攻击；元攻击特征相同的位流或字节流模式，即可断定发现攻击；有状态攻击特征是将整个会话分成若干阶段，攻击特征分有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺序，散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击；在每一个检测到指定的攻击特征才可断定发现攻击；攻击特征只能检测出已知攻击，即提取出攻击特征的攻击攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。行为。20第9章 入侵防御系统入侵检测机制攻击特征检测20第9章 入侵防御系统入侵检测机制入侵检测机制协议译码协议译码IP分组的正确性，如首部字段值是否合理，整个分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度之和是否首部是否包含单片数据中，各个分片的长度之和是否超过超过64KB等；等；TCP报文的正确性，如经过报文的正确性，如经过TCP连接传输的连接传输的TCP报文的报文的序号和确认序号之间是否冲突，连续发送的序号和确认序号之间是否冲突，连续发送的TCP报文报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠等；序号范围是否重叠等；应用层报文的正确性，请求、响应过程是否合乎协议应用层报文的正确性，请求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和默认应用规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。层协议匹配等。21第9章 入侵防御系统入侵检测机制协议译码21第9章 入侵防御系统入侵检测机制入侵检测机制异常检测异常检测基于统计机制，在一段时间内，对流经特定网段的信息流进基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、不同应行统计，如单位时间特定源和目的终端之间的流量、不同应用层报文分布等，将这些统计值作为基准统计值。然后，实用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，如果多个统计值和基准统计值存在然后和基准统计值比较，如果多个统计值和基准统计值存在较大偏差，断定流经该网段的信息流出现异常；较大偏差，断定流经该网段的信息流出现异常；基于规则机制，通过分析大量异常信息流，总结出一些特定基于规则机制，通过分析大量异常信息流，总结出一些特定异常信息流的规则，一旦流经该网段的信息流符合某种异常异常信息流的规则，一旦流经该网段的信息流符合某种异常信息流对应的规则，断定该信息流为异常信息流。信息流对应的规则，断定该信息流为异常信息流。22第9章 入侵防御系统入侵检测机制异常检测22第9章 入侵防御系统入侵检测机制入侵检测机制异常检测的困难之处在于正常信息流和异常信息流的测异常检测的困难之处在于正常信息流和异常信息流的测量值之间存在重叠部分，必须在误报和漏报之间平衡；量值之间存在重叠部分，必须在误报和漏报之间平衡；根据被保护资源的重要性确定基准值（靠近根据被保护资源的重要性确定基准值（靠近A点或点或B点点)。23第9章 入侵防御系统入侵检测机制异常检测的困难之处在于正常信息流和异常信息流的测安全策略安全策略安全策略指定需要检安全策略指定需要检测的信息流类别、检测的信息流类别、检测机制和反制动作，测机制和反制动作，对于攻击特征检测，对于攻击特征检测，需要给出攻击特征库；需要给出攻击特征库；由于攻击和应用层协由于攻击和应用层协议相关，因此对应不议相关，因此对应不同的应用层协议存在同的应用层协议存在不同的攻击特征库；不同的攻击特征库；对同一类别信息流，对同一类别信息流，可以指定多种检测机可以指定多种检测机制，对不同检测机制制，对不同检测机制检测到的攻击行为采检测到的攻击行为采取不同的反制动作。取不同的反制动作。24第9章 入侵防御系统安全策略安全策略指定需要检测的信息流类别、检测机制和反制动作9.3 主机入侵防御系统主机入侵防御系统9.3.1 工作流程；工作流程；9.3.2 截获机制；截获机制；9.3.3 主机资源；主机资源；9.3.4 用户和系统状态；用户和系统状态；9.3.5 访问控制策略；访问控制策略；9.3.6 Honeypot。主机入侵防御系统主要用于防止对主机资源的非法主机入侵防御系统主要用于防止对主机资源的非法访问和病毒入侵，因此，必须通过访问控制策略设访问和病毒入侵，因此，必须通过访问控制策略设定主机资源的访问权限，截获主机资源的操作请求，定主机资源的访问权限，截获主机资源的操作请求，根据访问控制策略、用户和系统状态及主机资源类根据访问控制策略、用户和系统状态及主机资源类型确定操作请求的合理性。型确定操作请求的合理性。25第9章 入侵防御系统9.3 主机入侵防御系统9.3.1 工作流程；25第9章 入工作流程工作流程主机入侵防御系统主要用于防止非法访问和病毒入侵；主机入侵防御系统主要用于防止非法访问和病毒入侵；只允许对主机资源的合法操作正常进行。只允许对主机资源的合法操作正常进行。26必须截获所有调用操作系统服务的必须截获所有调用操作系统服务的请求，尤其是对主机资源的操作请请求，尤其是对主机资源的操作请求，如读写文件、修改注册表等。求，如读写文件、修改注册表等。判别某个操作请求的合法性，判别某个操作请求的合法性，判别的依据是访问控制策略、判别的依据是访问控制策略、操作对象和类型、请求进程及操作对象和类型、请求进程及进程所属的用户、主机系统和进程所属的用户、主机系统和用户状态等。用户状态等。只允许操作系统完成合只允许操作系统完成合法的操作请求。法的操作请求。第9章 入侵防御系统工作流程主机入侵防御系统主要用于防止非法访问和病毒入侵；26截获机制截获机制修改操作系统内核修改操作系统内核通过修改操作系统内核，可以根据特权用户配置的资源访通过修改操作系统内核，可以根据特权用户配置的资源访问控制阵列和请求操作的用户确定操作的合法性，为了安问控制阵列和请求操作的用户确定操作的合法性，为了安全，可以对请求操作的用户进行身份认证。全，可以对请求操作的用户进行身份认证。拦截系统调用拦截系统调用用户操作请求和操作系统内核之间增加检测程序，对用户用户操作请求和操作系统内核之间增加检测程序，对用户发出的操作请求进行检测，确定是合法操作请求，才提供发出的操作请求进行检测，确定是合法操作请求，才提供给操作系统内核。给操作系统内核。网络信息流监测网络信息流监测对进出主机的信息流实施监测，防止病毒入侵，也防止敏对进出主机的信息流实施监测，防止病毒入侵，也防止敏感信息外泄。感信息外泄。27第9章 入侵防御系统截获机制修改操作系统内核27第9章 入侵防御系统截获机制截获机制拦截系统调用和进出主机的信拦截系统调用和进出主机的信息流的过程息流的过程28第9章 入侵防御系统截获机制拦截系统调用和进出主机的信息流的过程28第9章 入侵主机资源主机资源主机资源是需要主机入侵防御系统保护的一切有用的信息和信息承载体，包括如下：网络；内存；进程；文件；系统配置信息。29第9章 入侵防御系统主机资源主机资源是需要主机入侵防御系统保护的一切有用的信息和用户和系统状态用户和系统状态主机位置信息主机位置信息主机位置和主机的安全程度相关，也影响着主机入侵防御系统主机位置和主机的安全程度相关，也影响着主机入侵防御系统对主机的保护力度。确定主机位置的信息有：对主机的保护力度。确定主机位置的信息有：IP地址、域名前缀、地址、域名前缀、VPN客户信息等。客户信息等。用户状态信息用户状态信息不同用户的访问权限不同，用户身份通过用户名和口令标识，不同用户的访问权限不同，用户身份通过用户名和口令标识，用户状态信息给出用户登录时的用户名，口令等。用户状态信息给出用户登录时的用户名，口令等。系统状态信息系统状态信息系统安全状态，目前设置的安全等级、是否配置防火墙。是否系统安全状态，目前设置的安全等级、是否配置防火墙。是否安装防病毒软件，是否监测到黑客攻击等。安装防病毒软件，是否监测到黑客攻击等。用户和系统状态确定主机入侵防御系统对主机资源的保护方式用户和系统状态确定主机入侵防御系统对主机资源的保护方式和力度。和力度。30第9章 入侵防御系统用户和系统状态主机位置信息30第9章 入侵防御系统访问控制策略访问控制策略访访问问控控制制策策略略用用于于确确定定操操作作请请求求是是否否进进行行；访访问问控控制制策策略略将将用用户户位位置置、系系统统状状态态和和资资源源访访问问规规则则结结合合在在一一起起；用用户户位位置置给给出出标标识识用用户户终终端端所所在在位位置置的的信信息息，如如IP地地址址；系系统统状状态态给给出出终终端端的的安安全全状状态态；资资源源访访问问规规则则对对应应不不同同用用户户、不不同同访访问问请请求求发发起起者者、不不同同资资源源定定义义了了允允许许对对资资源源进进行行的的访访问问操操作作和和违违反反规规则则所所采采取取动动作作。31第9章 入侵防御系统访问控制策略访问控制策略用于确定操作请求是否进行；31第9章HoneypotHoneypot是一个伪装成有丰富资源的的应用服务器，用户通是一个伪装成有丰富资源的的应用服务器，用户通过正常访问过程是无法访问到的，因此，对过正常访问过程是无法访问到的，因此，对Honeypot进行访进行访问的往往是攻击程序；问的往往是攻击程序；Honeypot的作用是对资源访问过程进行严密监控，提取访问的作用是对资源访问过程进行严密监控，提取访问者的特征信息，如侦察行为特征、渗透行为特征及攻击行为者的特征信息，如侦察行为特征、渗透行为特征及攻击行为特征等；特征等；Honeypot详细记录下访问过程中的每一个操作，以便今后分详细记录下访问过程中的每一个操作，以便今后分析；析；总之，总之，Honeypot就像是一个四处安装监控器，没有任何盲区就像是一个四处安装监控器，没有任何盲区的房间，可以在犯罪分子没有觉察的情况下，察看他们的尽的房间，可以在犯罪分子没有觉察的情况下，察看他们的尽情表演，以此了解他们犯罪过程中的每一个细节。情表演，以此了解他们犯罪过程中的每一个细节。32第9章 入侵防御系统HoneypotHoneypot是一个伪装成有丰富资源的的应本 章 小 结入侵防御系统采用的是一种较为主动的技术，可以有效地弥补防火墙的不足，能及时发现入侵行为和合法用户滥用特权的行为并予以追踪入侵源，反制入侵行为。网络入侵防御系统主要从系统结构、信息捕获机制、入侵检测机制、安全策略4个方面进行了介绍。主机入侵防御系统主要从黑客攻击主机过程、主机入侵防御系统功能、主机入侵防御系统工作流程、截获机制、主机资源、用户和系统状态、访问控制策略几方面进行了介绍。第9章 入侵防御系统33本 章 小 结入侵防御系统采用的是一种较为主动的技术，可以有作业1 产生入侵防御系统的原因是什么？2 网络入侵防御系统和防火墙的区别是什么？。3 主机入侵防御系统和网络入侵防御系统的区别是什么？4 网络入侵防御系统的实现机制是什么？34第9章 入侵防御系统作业1 产生入侵防御系统的原因是什么？34第9章 入侵防御系谢谢！第9章 入侵防御系统35第9章 入侵防御系统35