学习内容
第8章 网络安全
本章主要讲解网络安全方面的基础知识和应用技术。针对考试应该掌握诸如数据加密、报文认
证、数字签名等基本理论，在此基础上深入理解网络安全协议的工作原理，并能够针对具体的
网络系统设计和实现简单的安全解决方案。
本章共有14个知识模块，20个知识点，23个课程视频

今日学习内容
8.12 计算机病毒及防护
8.13 入侵检测系统IDS
8.14 入侵防御系统 IPS

常见题型
1、IDS设备的主要作用是（          ）。
    A. 用户认证            
    B. 报文认证
    C. 入侵检测            
    D. 数据加密
【答案】C 

2、在入侵检测系统中，事件分析器接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其常用的三种分析方法中不包括（          ）。
    A. 匹配模式            
    B. 密文分析
    C. 数据完整性分析             
    D. 统计分析
【答案】B 

学习总结：
IDS (Intrusion Detection System)入侵检测系统，是作为齒火墙之后的第二道安全屏障，通过从网络中关键地点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到入侵攻击的迹象，并自动做出响应。

IDS的主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪，以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件，在造成系统损坏或数据丢失之前阻止入侵者进一步的行动，使系统能尽快恢复正常工作。同时还要收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

IDS入侵检测系统由4个模块组成：事件产生器、事件分析器、事件数据库和响应单元。其中，事件分析器负责接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其分析方法有三种：
①模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。
②统计分析：首先给系统对象（例如用户、文件、目录和设备等）建立正常使用时的特征文件（Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为。
③数据完整性分析：主要关注文件或系统对象的属性是否被修改，这种方法往往用于亊后的审计分析。