计算机网络安全第八章课件

计算机网络安全第八章2023/8/8计算机网络安全第八章计算机网络安全第八章2023/8/3计算机网络安全第八章1什么是入侵检测？目录10之1

入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS:IntrusionDetectionSystem）。2023/8/8计算机网络安全第八章什么是入侵检测？目录10之1入侵检测（I2为什么需要IDS？目录10之2入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，IDS是监视器2023/8/8计算机网络安全第八章为什么需要IDS？目录10之2入侵很容易2023/8/33如何使用IDS？目录10之3IDS可以作为防火墙的一个有效的补充，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。2023/8/8计算机网络安全第八章如何使用IDS？目录10之3IDS可以作为4图示目录10之4报警日志攻击检测记录入侵过程重新配置防火墙路由器内部入侵入侵检测记录终止入侵2023/8/8计算机网络安全第八章图示目录10之4报警攻击检测记录入侵重新配置内部入侵5IDS发挥的作用技术层面对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。目录10之5检测发现告警处理从不知到有知2023/8/8计算机网络安全第八章IDS发挥的作用技术层面目录10之5检测从不知到6IDS发挥的作用管理层面对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。目录10之6管理评估威慑从被动到主动2023/8/8计算机网络安全第八章IDS发挥的作用管理层面目录10之6管理从被动到7IDS发挥的作用领导层面对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。目录10之7教训总结优化从事后到事前2023/8/8计算机网络安全第八章IDS发挥的作用领导层面目录10之7教训从事后到8IDS发挥的作用意识层面对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。目录10之8建立预警机制采取灾备措施提高保障意识从预警到保障2023/8/8计算机网络安全第八章IDS发挥的作用意识层面目录10之8建立预警机制从预9IDS发展过程

—概念的诞生目录10之91980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）：指出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息—预警；提出了对计算机系统风险和威胁的分类方法，分为外部渗透、内部渗透和不法行为三种；提出利用审计跟踪数据监视入侵活动的思想。2023/8/8计算机网络安全第八章IDS发展过程

—10IDS发展过程

—研究和发展目录10之10Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作；1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统（NetworkSecurityMonitor）；从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。2023/8/8计算机网络安全第八章IDS发展过程

—11IDS的基本结构目录信息收集信息分析结果处理2023/8/8计算机网络安全第八章IDS的基本结构目录信息收集2023/8/3计算机网络安全第12信息收集目录>>IDS的基本结构入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为，这需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，应尽可能扩大检测范围，因为从一个源来的信息有可能看不出疑点。入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。4之12023/8/8计算机网络安全第八章信息收集目录>>IDS的基本结构入侵检测的第13信息来源目录>>IDS的基本结构系统/网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为4之22023/8/8计算机网络安全第八章信息来源目录>>IDS的基本结构系统/网络的日志文件4之14日志文件目录>>IDS的基本结构攻击者常在系统和网络日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。4之32023/8/8计算机网络安全第八章日志文件目录>>IDS的基本结构攻击者常在系统15系统目录和文件的异常变化目录>>IDS的基本结构网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。4之42023/8/8计算机网络安全第八章系统目录和文件的异常变化目录>>IDS的基本结构16信息分析目录>>IDS的基本结构模式匹配统计分析完整性分析2023/8/8计算机网络安全第八章信息分析目录>>IDS的基本结构模式匹配2023/8/3计算17模式匹配目录>>IDS的基本结构>>信息分析模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。2023/8/8计算机网络安全第八章模式匹配目录>>IDS的基本结构>>信息分析模18统计分析目录>>IDS的基本结构>>信息分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。2023/8/8计算机网络安全第八章统计分析目录>>IDS的基本结构>>信息分析统19完整性分析目录>>IDS的基本结构>>信息分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性。本方法在发现被更改的、被安装木马的应用程序方面特别有效。2023/8/8计算机网络安全第八章完整性分析目录>>IDS的基本结构>>信息分析20结果处理目录>>IDS的基本结构弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap2023/8/8计算机网络安全第八章结果处理目录>>IDS的基本结构弹出窗口报警2023/8/321IDS的分类目录按照分析方法分按照数据来源分按系统各模块的运行方式分根据时效性分2023/8/8计算机网络安全第八章IDS的分类目录按照分析方法分2023/8/3计算机网络安全22按照分析方法分目录>>IDS的分类

异常检测IDS（AnomalyDetection)首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测IDS（MisuseDetection)收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。2023/8/8计算机网络安全第八章按照分析方法分目录>>IDS的分类异常检测IDS（Ano23异常检测模型目录>>IDS的分类>>按照分析方法分2之1网络数据日志数据异常检测入侵行为正常行为描述库规则不匹配动态产生新描述动态更新描述2023/8/8计算机网络安全第八章异常检测模型目录>>IDS的分类>>按照分析方法分2之24特点目录>>IDS的分类>>按照分析方法分异常检测系统的效率取决于用户轮廓的完备性和监控的频率；因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源；漏报率低，误报率高。2之22023/8/8计算机网络安全第八章特点目录>>IDS的分类>>按照分析方法分异常检测系统的25误用检测模型目录>>IDS的分类>>按照分析方法分2之1网络数据日志数据误用检测入侵行为攻击模式描述库规则匹配动态产生新描述动态更新描述2023/8/8计算机网络安全第八章误用检测模型目录>>IDS的分类>>按照分析方法分2之26特点目录>>IDS的分类>>按照分析方法分2之2误报率低，漏报率高。攻击特征的细微变化，会使得误用检测无能为力。2023/8/8计算机网络安全第八章特点目录>>IDS的分类>>按照分析方法分2之227按照数据来源分目录>>IDS的分类

基于主机的IDS（HIDS）系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。

基于网络的IDS（NIDS）系统获取的数据是网络传输的数据包，保护的是网络的运行。

混合型IDS同时使用基于主机的IDS和基于网络的IDS，实现两者优势互补。2023/8/8计算机网络安全第八章按照数据来源分目录>>IDS的分类基于主机的IDS（HI28基于主机的IDS目录>>IDS的分类>>按照数据来源分安装于被保护的主机中主要分析主机内部活动系统日志应用程序日志文件完整性检查占用一定的系统资源4之12023/8/8计算机网络安全第八章基于主机的IDS目录>>IDS的分类>>按照数据来源分安装于29工作过程示意图目录>>IDS的分类>>按照数据来源分Internet网络服务器1客户端网络服务器2X检测内容：

系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS4之22023/8/8计算机网络安全第八章工作过程示意图目录>>IDS的分类>>按照数据来源分Inte30优点目录>>IDS的分类>>按照数据来源分检测准确度较高；可以检测到没有明显行为特征的入侵；能够对不同操作系统进行有针对性的检测；成本较低；不会因网络流量影响性能；适合加密和交换环境。4之32023/8/8计算机网络安全第八章优点目录>>IDS的分类>>按照数据来源分检测准确度较高31缺点目录>>IDS的分类>>按照数据来源分4之4实时性较差；无法检测数据包的全部；检测效果取决于日志系统；占用主机资源；隐蔽性较差；如果入侵者能够修改校验和，这种IDS将无法起到预期的作用。2023/8/8计算机网络安全第八章缺点目录>>IDS的分类>>按照数据来源分4之432基于网络的IDS目录>>IDS的分类>>按照数据来源分安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载4之12023/8/8计算机网络安全第八章基于网络的IDS目录>>IDS的分类>>按照数据来源分安装在33工作过程示意图目录>>IDS的分类>>按照数据来源分InternetNIDS网络服务器1客户端网络服务器2X检测内容：

包头信息+有效数据部分4之22023/8/8计算机网络安全第八章工作过程示意图目录>>IDS的分类>>按照数据来源分Inte34优点目录>>IDS的分类>>按照数据来源分可以提供实时的网络行为检测；可以同时保护多台网络主机；具有良好的隐蔽性；有效保护入侵证据；不影响被保护主机的性能；操作系统无关性。4之32023/8/8计算机网络安全第八章优点目录>>IDS的分类>>按照数据来源分可以提供实时的35缺点目录>>IDS的分类>>按照数据来源分防入侵欺骗的能力通常较差；在交换式网络环境中难以配置；检测性能受硬件条件限制；不能处理加密后的数据。4之42023/8/8计算机网络安全第八章缺点目录>>IDS的分类>>按照数据来源分防入侵欺骗的能36混合型IDS目录>>IDS的分类>>按照数据来源分基于主机的IDS和基于网络的IDS都有着自身独到的优势，而且在某些方面是很好的互补。混合型IDS就是采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。2023/8/8计算机网络安全第八章混合型IDS目录>>IDS的分类>>按照数据来源分37按系统各模块的运行方式分目录>>IDS的分类集中式IDS在被保护网络的各个网段中分别放置检测器进行数据包的搜集和分析，各个检测器将检测信息传送到中央控制台进行统一处理，中央控制台还会向各个检测器发送命令。分布式IDS通常采用分布式智能代理的结构，由一个或多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。2023/8/8计算机网络安全第八章按系统各模块的运行方式分目录>>IDS的分类集中式IDS38根据时效性分目录>>IDS的分类脱机分析IDS行为发生后，对产生的数据进行分析。联机分析IDS在数据产生的同时或者发生改变时进行分析。2023/8/8计算机网络安全第八章根据时效性分目录>>IDS的分类脱机分析IDS2023/8/39IDS的检测技术目录异常检测技术误用检测技术其它检测技术2023/8/8计算机网络安全第八章IDS的检测技术目录异常检测技术2023/8/3计算机网络安40异常检测技术

—基于行为的检测目录>>IDS的检测技术统计分析异常检测贝叶斯推理异常检测神经网络异常检测模式预测异常检测数据挖掘异常检测机器学习异常检测2023/8/8计算机网络安全第八章异常检测技术

—基于行41统计分析异常检测目录>>IDS的检测技术>>异常检测技术首先对系统或用户的行为按照一定的时间间隔进行采样，样本的内容包括每个会话的登录、退出情况，CPU和内存的占用情况，硬盘等存储介质的使用情况等。对每次采集到的样本进行计算，得出一系列的参数变量来对这些行为进行描述，从而产生行为轮廓，将每次采样后得到的行为轮廓与已有轮廓进行合并，最终得到系统和用户的正常行为轮廓。IDS通过将当前采集到的行为轮廓与正常行为轮廓相比较，从而来检测网络是否被入侵。2之12023/8/8计算机网络安全第八章统计分析异常检测目录>>IDS的检测技术>>异常检测技术42特点目录>>IDS的检测技术>>异常检测技术优点所应用的技术方法在统计学中已经比较成熟。缺点异常阀值难以确定：阀值设置得偏低会产生过多的误检，偏高会产生过多的漏检。对事件发生的次序不敏感：可能会漏检由先后发生的几个关联事件组成的入侵行为。对行为的检测结果要么是异常，要么是正常，攻击者可以利用这个弱点躲避IDS的检测。2之22023/8/8计算机网络安全第八章特点目录>>IDS的检测技术>>异常检测技术优点2之43神经网络异常检测目录>>IDS的检测技术>>异常检测技术3之1基本思想：用一系列的信息单元（命令）训练神经单元，这样在给定一组输入后，就可以预测输出。用于检测的神经网络模块结构为：当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。2023/8/8计算机网络安全第八章神经网络异常检测目录>>IDS的检测技术>>异常检测技术344图示目录>>IDS的检测技术>>异常检测技术3之22023/8/8计算机网络安全第八章图示目录>>IDS的检测技术>>异常检测技术3之45特点目录>>IDS的检测技术>>异常检测技术优点不需要对数据进行统计假设，能够较好地处理原始数据的随机性，并且能够较好地处理干扰数据。缺点网络的拓扑结构和各元素的权重难以确定，必须经过多次尝试。W的大小难以确定：设置的小，则会影响输出效果；设置的大，则由于神经网络要处理过多的无关数据而使效率下降。3之32023/8/8计算机网络安全第八章特点目录>>IDS的检测技术>>异常检测技术优点3之46误用检测技术

—基于知识的检测目录>>IDS的检测技术专家系统误用检测特征分析误用检测模型推理误用检测条件概率误用检测键盘监控误用检测2023/8/8计算机网络安全第八章误用检测技术

—基于知识47专家系统误用检测目录>>IDS的检测技术>>误用检测技术首先将安全专家的关于网络入侵行为的知识表示成一些类似if-then的规则，并以这些规则为基础建立专家知识库。规则中的if部分说明形成网络入侵的必需条件，then部分说明发现入侵后要实施的操作。IDS将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通过推理引擎进行入侵检测，当if中的条件全部满足或者在一定程度上满足时，then中的动作就会被执行。2之12023/8/8计算机网络安全第八章专家系统误用检测目录>>IDS的检测技术>>误用检测技术48特点目录>>IDS的检测技术>>误用检测技术需要处理大量的审计数据并且依赖于审计追踪的次序，在目前的条件下处理速度难以保证；对于各种网络攻击行为知识进行规则化描述的精度有待提高，审计数据有时不能提供足够的检测所需的信息；专家系统只能检测出已发现的入侵行为，要检测出新的入侵，必须及时添加新的规则，维护知识库的工作量很大。2之22023/8/8计算机网络安全第八章特点目录>>IDS的检测技术>>误用检测技术需要处理大量49特征分析误用检测目录>>IDS的检测技术>>误用检测技术在商品化的IDS中本技术运用较多。特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识，不同的是：特征分析更直接地使用各种入侵知识，它将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，为不进行规则转换，这样就可以直接从审计数据中提取相应的数据与之匹配，因此不需处理大量的数据，从而提高了效率。2023/8/8计算机网络安全第八章特征分析误用检测目录>>IDS的检测技术>>误用检测技术50其它检测技术目录>>IDS的检测技术遗传算法免疫技术2023/8/8计算机网络安全第八章其它检测技术目录>>IDS的检测技术遗传算法2023/8/351遗传算法目录>>IDS的检测技术>>其它检测技术遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或异常的行为。指令中包含若干字符串，所有的指令在定义初期的检测能力都很有限，IDS对这些指令逐步地进行训练，促使指令中的字符串片段发生重组，以生成新的字符串指令。再从新的指令中经过测试筛选出检测能力最强的部分指令，对它们进行下一轮的训练。如此反复，使检测指令的检测能力不断提高，训练过程即可结束，此时这些指令已经具备一定的检测能力，IDS可以使用它们进行网络入侵检测。目前对遗传算法的研究还处于实验阶段。2023/8/8计算机网络安全第八章遗传算法目录>>IDS的检测技术>>其它检测技术52免疫技术目录>>IDS的检测技术>>其它检测技术免疫技术应用了生物学中的免疫系统原理。处于网络环境中的主机之所以受到入侵，是因为主机系统本身以及所运行的应用程序存在着各种脆弱性因素，网络攻击者正是利用这些漏洞侵入到主机系统中的；在生物系统中同样存在着各种脆弱性因素，因此会受到病毒、病菌的攻击。而生物体拥有免疫系统来负责检测和抵御入侵，免疫机制包括特异性免疫和非特异性免疫。特异性免疫针对于特定的某种病毒，非特异性免疫可用于检测和抵制以前从未体验过的入侵类型。入侵检测免疫技术受免疫系统原理的启发，通过学习分析已有行为的样本来获得识别不符合常规行为的能力。2023/8/8计算机网络安全第八章免疫技术目录>>IDS的检测技术>>其它检测技术免疫53IDS的设置目录IDS是网络安全防御系统的重要组成部分。IDS的设置影响着IDS在整个网络安全防御系统中的地位和重要程度。目前大部分的入侵检测技术都需要对网络数据流进行大量的分析运算，在高速网络中，一个不经过配置的入侵检测设备，在不进行筛选和过滤的情况下，无法很好地完成对受保护网络的有效检测。3之12023/8/8计算机网络安全第八章IDS的设置目录IDS是网络安全防御系统的重要54IDS的设置步骤目录确定入侵检测需求设计IDS在网络中的拓扑结构配置IDSIDS磨合IDS的使用和自调节3之22023/8/8计算机网络安全第八章IDS的设置步骤目录确定入侵检测需求3之22023/55设置步骤图示目录1.确定需求2.设计拓扑3.配置系统4.磨合调试5.使用系统确定安全需求完成系统配置实现拓扑磨合达标根据设计拓扑改变重新确定需求根据运行结果调整相关参数网络拓扑变更或安全更新3之32023/8/8计算机网络安全第八章设置步骤图示目录1.确定需求2.设计拓扑3.配置系统4.磨合56IDS的部署目录基于网络IDS的部署基于主机IDS的部署2023/8/8计算机网络安全第八章IDS的部署目录基于网络IDS的部署2023/8/3计算机网57基于网络IDS的部署目录>>IDS的部署基于网络的IDS可以在网络的多个位置进行部署（这里的部署主要指对网络入侵检测器的部署）。根据检测器部署位置的不同，IDS具有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。2之12023/8/8计算机网络安全第八章基于网络IDS的部署目录>>IDS的部署基于网58部署位置目录>>IDS的部署Internet边界路由器WWWMailDNS管理子网一般子网内部WWW重点子网DMZ区域内部工作子网部署一部署二部署三部署四2之22023/8/8计算机网络安全第八章部署位置目录>>IDS的部署Internet边界路由器WWW59部署一：外网入口目录>>IDS的部署>>部署位置外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以检测所有进出防火墙外网口的数据，可以检测到所有来自外部网络的可能的攻击行为并进行记录。2之12023/8/8计算机网络安全第八章部署一：外网入口目录>>IDS的部署>>部署位置60特点目录>>IDS的部署>>部署位置优点可以对针对目标网络的攻击进行计数，并记录最为原始的攻击数据包；可以记录针对目标网络的攻击类型。缺点由于入侵检测器本身性能上的局限，该部署点的入侵检测器目前的效果并不理想；对于进行NAT的内部网来说，入侵检测器不能定位攻击的源/目的地址，系统管理员在处理攻击行为上存在一定的困难。2之22023/8/8计算机网络安全第八章特点目录>>IDS的部署>>部署位置优点2之2261部署二：内网主干目录>>IDS的部署>>部署位置内网主干部署点是最常用的部署位置，在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。在这个位置，入侵检测器可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理。2之12023/8/8计算机网络安全第八章部署二：内网主干目录>>IDS的部署>>部署位置62特点目录>>IDS的部署>>部署位置优点检测大量的网络通信提高了检测攻击的识别可能；检测内网可信用户的越权行为；实现对内部网络信息的检测。缺点入侵检测器不能记录下所有可能的入侵行为，因为已经经过防火墙的过滤。2之22023/8/8计算机网络安全第八章特点目录>>IDS的部署>>部署位置优点2之2263部署三：DMZ区目录>>IDS的部署>>部署位置DMZ区部署点在DMZ区的总口上，这是入侵检测器最常见的部署位置。在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。对于用户来说，防止对外服务的服务器受到攻击是最为重要的。由于DMZ区中的各个服务器提供的服务有限，所以针对这些对外提供的服务进行入侵检测，可以使入侵检测器发挥最大的优势，对进出的网络数据进行分析。由于DMZ区中的服务器是外网可见的，因此在这里的入侵检测也是最为需要的。2之12023/8/8计算机网络安全第八章部署三：DMZ区目录>>IDS的部署>>部署位置64特点目录>>IDS的部署>>部署位置优点检测来自外部的攻击，这些攻击已经渗入过第一层防御体系；可以容易地检测网络防火墙的性能并找到配置策略中的问题；DMZ区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备；即使进入的攻击行为不可识别，IDS经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息。2之22023/8/8计算机网络安全第八章特点目录>>IDS的部署>>部署位置优点2之2265部署四：关键子网目录>>IDS的部署>>部署位置在内部网中，总有一些子网因为存在关键性数据和服务，需要更严格的管理，例如：资产管理子网、财务子网、员工档案子网等，这些子网是整个网络系统中的关键子网。通过对这些子网进行安全检测，可以检测到来自内部以及外部的所有不正常的网络行为，这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入，造成关键数据泄露或丢失。由于关键子网位于内网的内部，因此流量相对要小一些，可以保证入侵检测器的有效检测。2之12023/8/8计算机网络安全第八章部署四：关键子网目录>>IDS的部署>>部署位置66特点目录>>IDS的部署>>部署位置优点集