收藏 分销(赏)

2入侵检测.pptx

上传人:人****来 文档编号:4334320 上传时间:2024-09-06 格式:PPTX 页数:82 大小:3.63MB
下载 相关 举报
2入侵检测.pptx_第1页
第1页 / 共82页
2入侵检测.pptx_第2页
第2页 / 共82页
2入侵检测.pptx_第3页
第3页 / 共82页
2入侵检测.pptx_第4页
第4页 / 共82页
2入侵检测.pptx_第5页
第5页 / 共82页
点击查看更多>>
资源描述

1、入侵检测入侵检测04/04/07 10:181.概述2.入侵检测系统的分类及特点3.入侵检测系统的关键技术4.入侵检测系统的外围支撑技术5.入侵检测系统应用指南6.入侵检测系统的发展趋势04/04/07 10:18一、概述什么是入侵检测系统为什么需要入侵检测入侵检测系统的作用入侵检测的相关术语传统的安全防御技术防火墙 一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组之间的一系列部件的组之间的一系列部件的组之间的一系列部件的组合,它是不同网络安全域间通信流的合,它是

2、不同网络安全域间通信流的合,它是不同网络安全域间通信流的合,它是不同网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政,能根据企业有关的安全政,能根据企业有关的安全政,能根据企业有关的安全政策策策策控制控制控制控制(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访

3、问控制规则决定进出网络的行为安全域2Host C Host D 安全域1Host A Host B 防火墙的局限性n关于防火墙q防火墙不能安全过滤应用层的非法攻击,如unicode攻击q防火墙对不通过它的连接无能为力,如内网攻击等q防火墙采用静态安全策略技术,因此自身无法动态防御新的非法攻击04/04/07 10:18n对信息系统的非授权访问及(或)未经许可在信息系统中进行操作入侵入侵 Intrusion入侵检测入侵检测 Intrusion Detection对企图入侵、正在进行的入侵或已经发生的入侵进行对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程识别的过程入侵检测系统(入侵检测系

4、统(IDS)用于辅助进行入侵检测或者独立进行入侵用于辅助进行入侵检测或者独立进行入侵检测的自动化工具检测的自动化工具什么是入侵检测系统IDSnIntrusion Detection:通过从计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术;nIntrusion Detection System:作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。04/04/07 10:18边界防御的局限攻击工具唾手可得攻击工

5、具唾手可得 入侵教程随处可见入侵教程随处可见内部网的攻击占总的攻击事件的内部网的攻击占总的攻击事件的70%以上以上没有监测的内部网是内部人员的没有监测的内部网是内部人员的“自由王国自由王国”入侵行为日益严重入侵行为日益严重内部的非法访问内部的非法访问防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。防火墙不能防止防火墙不能防止Internet上下载被病毒感染的程序上下载被病毒感染的程序为什么需要入侵检测系统04/04/07 10:18为什么需要入侵检测系统如:穿

6、透防火墙的攻击如:穿透防火墙的攻击http:/http:/clienthttp:/ 10:18监控室监控室=控制中心控制中心Card KeyCard Key入侵检测系统的作用监控前门和保安监控前门和保安监控屋内人员监控屋内人员监控后门监控后门监控楼外监控楼外n入侵检测的必要性入侵检测的必要性因为访问控制和保护模型本身存着在以下问题。因为访问控制和保护模型本身存着在以下问题。(1)弱口令问题。)弱口令问题。(2)静态安全措施不足以保护安全对象属性。)静态安全措施不足以保护安全对象属性。(3)软件的)软件的Bug-Free近期无法解决。近期无法解决。(4)软件生命周期缩短和软件测试不充分。)软件生

7、命周期缩短和软件测试不充分。(5)系统软件缺陷的修补工作复杂,而且源代)系统软件缺陷的修补工作复杂,而且源代码大多数不公开,也缺乏修补码大多数不公开,也缺乏修补Bug的专门技术,的专门技术,导致修补进度太慢,因而计算机系统的不安全导致修补进度太慢,因而计算机系统的不安全系统将持续一段时间。系统将持续一段时间。n入侵检测的主要目的有:识别入侵者;识别入入侵检测的主要目的有:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为对侵行为;检测和监视已成功的安全突破;为对抗措施即时提供重要信息。因而,入侵检测是抗措施即时提供重要信息。因而,入侵检测是非常必要的,可以弥补传统安全保护措施的不非常必要

8、的,可以弥补传统安全保护措施的不足。足。n 入侵检测系统的主要功能是检测,当然还入侵检测系统的主要功能是检测,当然还有其他的功能选项,因而增加了计算机系统和有其他的功能选项,因而增加了计算机系统和网络的安全性。网络的安全性。使用入侵检测系统有如下优点:使用入侵检测系统有如下优点:检测防护部分阻止不了的入侵;检测防护部分阻止不了的入侵;检测入侵的前兆;检测入侵的前兆;对入侵事件进行归档;对入侵事件进行归档;对网络遭受的威胁程度进行评估;对网络遭受的威胁程度进行评估;对入侵事件进行恢复。对入侵事件进行恢复。入侵检测系统利用优化匹配模式和统计学技术把传统入侵检测系统利用优化匹配模式和统计学技术把传统

9、的电子数据处理和安全审查结合起来,已经发展成为的电子数据处理和安全审查结合起来,已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。构筑完整的现代网络安全技术的一个必不可少的部分。04/04/07 10:18攻击事件事件攻击者利用工具,出于某种动机,对目标系攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取统采取的行动,其后果是获取/破坏破坏/篡改目篡改目标系统的数据或访问权限标系统的数据或访问权限在攻击过程中发生的可以识别的行在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性系统中,事件常常具有一系列

10、属性和详细的描述信息可供用户查看。和详细的描述信息可供用户查看。CIDF 将入侵检测系统需要分析的将入侵检测系统需要分析的数据统称为事件(数据统称为事件(event)入侵检测相关术语n检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。n检测系统在检测过程中出现虚警的概率称为系统的虚警率。false positives(虚警)(虚警)false negatives(漏警)(漏警)检测系统在检测时把某些入侵行为判为正常行为的错误现象检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。称为漏警。检测系统在检测过程中出现漏警的概率称为系统的漏警率。检测系统在检测过程中出现漏警的概

11、率称为系统的漏警率。04/04/07 10:18n模拟脆弱性主机诱惑攻击者在其上浪费时间n延缓对真正目标的攻击Honeypot(蜜罐)(蜜罐)Promiscuous(混杂模式)(混杂模式)网卡的一种接收模式网卡的一种接收模式在这种模式下的网卡能够接收一切通过它的数在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是据,而不管该数据是否是 传给它的传给它的1997年,DARPA(Defense Advanced Research Projects Agency)资助成立了CIDF(Common Intrusion Detection Framework)工作组;其工作目标是制定一套入侵

12、检测系统的公共框架,使得不同的IDR(Intrusion Detection and Response Projections)组件能够互相交换和共享信息,并允许不同的IDR子系统能够得到复用;CIDF将标准化的重点放在入侵检测系统的不同组件之间的合作上;CIDF定义了四个方面的标准:Architecture;Communication;Language;API。CIDFIETF(Internet Engineering Task Force)下属的IDWG(ID Working Group)。入侵检测信息交换格式(ID Message Exchange Format,IDMEF)对组件之间的

13、通信进行了标准化。IDMEF使用面向对象的模型来表示其数据格式,可以提供强大的兼容性与可扩展性。IDMEF的通信规范就是入侵警告协议(Intrusion Alert Protocol,IAP)。CIWG04/04/07 10:18二、入侵检测系统的分类按数据检测方法分类按系统结构分类按时效性分类按照数据来源分类q异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 q误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系

14、统就认为这种行为是入侵 按照分析方法(检测方法)按照分析方法(检测方法)04/04/07 10:18q集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行q分布式:系统的各个模块分布在不同的计算机和设备上按系统结构分类按系统结构分类04/04/07 10:18离线入侵检测系统(off-line IDS)在线入侵检测系统(On-line IDS)根据时效性分类根据时效性分类04/04/07 10:18基于主机的入侵检测系统(HIDS)基于网络的入侵检测系统(NIDS)混合型入侵检测系统(Hybrid IDS)网络节点入侵检测系统(NNIDS)按数据来源分类按数据来源分类04/04/07

15、10:18HIDSn定义q运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理n特点q安装于被保护的主机中n系统日志n系统调用n文件完整性检查q主要分析主机内部活动q占用一定的系统资源04/04/07 10:18收集收集过程过程 ID:2092 用户名用户名:Administrator 登录登录 ID:(0 x0,0 x141FA)分析处理分析处理 文 进 日 注册.件 程 志 表.结果结果主机入侵检测系统运行于被检测的主机之上,通过查询、监听当前系统的各种资主机入侵检测系统运行于被检测的主机之上,通过查询、监听当前系统的各

16、种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主要包括:网络、文件、进程、系统日志等其监测的资源主要包括:网络、文件、进程、系统日志等04/04/07 10:18HIDS优势(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。04/04/07 10:18HIDS的劣势(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)

17、HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。04/04/07 10:18NIDSn定义q通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。n特点q安装在被保护的网段(通常是共享网络)中q混杂模式监听q分析网段中所有的数据包q实时检测和响应NIDS在网络的位置在网络的位置探测引擎探测引擎交换机交换机数据镜像数据镜像控制台控制台Internet路由器路由器内部局域网内部局域网IDSIDS防火墙防火墙04/04/07 10:18NI

18、DS实现01 01 01 0101 01 01 01收集收集01 01 01 01 01 01 01 01 01 01 01 01 0101010101010分析处理分析处理结果结果网络IDS通过抓取网络上的所有报文,分析处理后,报告异常。04/04/07 10:18NIDS优势(1)实时分析网络数据,检测网络系统的非法行为;(2)网络IDS系统单独架设,不占用其它计算机系统的任何资源;(3)网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;(4)它既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;(5)通过与防火墙的联动,不但可以对攻击预警

19、,还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担04/04/07 10:18NIDS的劣势(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性HIDS和NIDS的比较n安装于被保护的主机中n主要分析主机内部活动q系统日志q系统调用q文件完整性检查n占用一定的系统资源安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负担入侵检测系统入侵检测系统网络型入侵检测系统网络型入侵检测系统主机型入侵检测系统主机型入侵检测系统04/04/07 10:18CIDF组件事件产生器(Event ge

20、nerators)事件分析器(Event analyzers)响应单元(Response units)事件数据库(Event databases)Common Intrusion Detection Frame组件组件04/04/07 10:18CIDF组件04/04/07 10:18常见产品形态组件策策略略下下发发上上报报事事件件控制中心控制中心探测引擎探测引擎表现方式:软件表现方式:软件功能:功能:接收事件策略下发日志记录与分析事件库升级表现方式:硬件表现方式:硬件/软件软件功能:功能:抓包分析数据上报事件04/04/07 10:18三、入侵检测系统关键技术数据采集技术数据采集技术数据检测

21、技术数据检测技术数据分析技术数据分析技术数据采集技术数据采集技术04/04/07 10:18数据采集技术数据采集技术n高速网络线速采集Dedicated NIC DriverDMA-based zero copyn包俘获包俘获库LibcapwindowsNT下Gobber、Ethdump和Ethload UNIX下CSPF、BPF基于流的包俘获n主机信息采集应用程序日志 审计日志 网络端口的连接状况 系统文件04/04/07 10:18基于误用的检测方法基于异常的检测方法数据检测技术04/04/07 10:18n运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。n通

22、过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。n也被称为违规检测(Misuse Detection)。n检测准确度很高。基于误用的检测方法基于误用的检测方法数据检测技术04/04/07 10:18专家系统模型匹配检测系统状态转换分析具体实现具体实现数据检测技术基于误用的检测方法基于误用的检测方法04/04/07 10:18 n攻击信息使用的输入使用ifthen的语法。n指示入侵的具体条件放在规则的左边(if侧),当满足这些规则时,规则执行右边(then侧)的动作。专家系统专家系统基于误用的检测方法04/04/07 10:18模式匹配检测模式匹配检测基于误用的检测方法根

23、据知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。04/04/07 10:18 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E.10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P.30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f7

24、0 726f 6475 .GET/produ GET/produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450

25、 2f31 2e31 0d0a 2.jpg HTTP/1.1.60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept:*/*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer:http:/www 80 6572 6572 3a20 6874 7470 3a2f 2f77

26、 7777 erer:http:/www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept-b0 2f73 746f 72

27、65 2f0d 0a41 6363 6570 742d /store/.Accept-c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language:en-us.d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c2

28、0 6465 666c 6174 650d :gzip,deflate.e0 3a20 677a 6970 2c20 6465 666c 6174 650d :gzip,deflate.f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent:Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0(compat 100 696c 6c61 2f34 2e30 2028

29、636f 6d70 6174 illa/4.0(compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible;MSIE 5.01;120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0)130 0d0a 486f 7374 3a20 7777 772e

30、 616d 6572 .Host:www.amer 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host:www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction:Kee

31、p-Aliv 160 650d 0a0d 0a e.160 650d 0a0d 0a e.基于误用的检测方法模式匹配检测示例模式匹配检测示例04/04/07 10:18n优点q可检测出所有对系统来说是已知的入侵行为q系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动n局限:q它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。q系统运行的环境与知识库中关于攻击的知识有关。q对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷,因而很难检测出来。基于误用的检测方法04/04/07 10:18基本原

32、理基本原理1.1.前提:入侵是异常活动的子集前提:入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile):(Profile):通常定义为各种行为参数及其通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围阀值的集合,用于描述正常行为范围3.3.过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4.指标指标:漏报率低漏报率低,误报率高误报率高基于异常的检测方法基于异常的检测方法04/04/07 10:18具体实现n基于统计学方法的异常检测n基于神经网络的异常检测n基于数据挖掘的异常检测04/04/07 10:18n记录的具体操作包括:CPU 的使用,I/O 的使用,使

33、用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。基于统计学方法基于统计学方法操作密度操作密度审计记录分布审计记录分布范畴尺度范畴尺度数值尺度数值尺度04/04/07 10:18基于神经网络基于神经网络04/04/07 10:18n数据挖掘是指从大量实体数据抽象出模型的处理;n目的是要从海量数据中提取对用户有用的数据;n这些模型经常在数据中发现对其它检测方式不是很明显的异常。n主要方法:聚类分析、连接分析和顺序分析。基于数据挖掘技术的异常检测基于数据挖掘技术的异常检测04/04/07 10:18优点不需要操作系统及其安全性缺陷专门知识能有效检测

34、出冒充合法用户的入侵 缺点为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难不是所有入侵者的行为都能够产生明显的异常性有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法。误用检测和异常检测的对比入侵检测模型入侵检测模型异常检测(Anomaly Detection)指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。误用检测(Misuse Detection)指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。模式匹配为误用检测的典型应用异常检测模型异

35、常检测模型误用检测误用检测模型模型04/04/07 10:18数据分析技术n协议解析n有限状态自动机nACBM字符串匹配n正则表达式n事件规则树n完整性分析04/04/07 10:18n协议分析与解码ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNS04/04/07 10:18匹配规则子集ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNSETHER规则子集IP规则子集TCP规则子集HTTP规则子集匹配的规则子集HTTP报文的报文的解析路径解析路径04/04/07 10:18协议分析的优点提高了性能提高了准确性基于状态的分析

36、反规避能力系统资源开销小检测实例老版本的Sendmail有一个漏洞,telnet到25端口,输入wiz,然后接着输入超过1024Kb的shellcode,就能获得一个rootshell,还有通过debug命令的方式,也能获得root权限,进而控制系统。$telnet 25WIZShellecx 0 x943a3145-1808125627edx 0 x408d17fc 1082988540。或者DEBUG#*直接获得rootshell!04/04/07 10:18n检查每个packet是否包含:“WIZ”|“DEBUG”简单的匹配简单的匹配检测实例04/04/07 10:18检测实例n缩小匹配

37、范围 Port 25:“WIZ”|“DEBUG”检查端口号检查端口号04/04/07 10:18检测实例n只判断客户端发送部分 Port 25:Client-sends:“WIZ”|Client-sends:“DEBUG”深入决策树深入决策树04/04/07 10:18检测实例n状态检测+引向异常的分支 Port 25:stateful client-sends:“WIZ”|stateful client-sends:“DEBUG”after stateful“DATA”client-sends line 1024 bytes means possible buffer overflow 更加

38、深入更加深入04/04/07 10:18四、入侵检测系统的外围支撑技术n联动机制n响应机制n日志分析n事件过滤技术n漏洞机理研究04/04/07 10:18五、入侵检测系统应用指南IDS的部署评价IDS的性能和功能指标典型IDS产品介绍04/04/07 10:18IDS的部署n共享模式n隐蔽模式n交换模式nIn-line模式 nTAP模式04/04/07 10:18共享环境HUBIDS 探测器被监测机器控制台 SPAM模式通过镜像端口从HUB上的任意一个接口,或者在交换机上设置成监听模式的监听端口上收集信息。04/04/07 10:18交换机IDS 探测器被监测机器控制台通过端口镜像实现通过端

39、口镜像实现交换环境隐蔽模式HUBIDS 探测器被监测机器控制台监测口无监测口无IP地址地址 隐蔽模式使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ外,在防火墙的保护之外。它有自动响应的缺点。例如采用双网卡的技术,一个网卡绑定IP,用来与console(控制台)通信,另外一个网卡无IP,用来收集网络数据包,其中连在网络中的是无IP的网卡,因为没有IP,所以可以免受直接攻击。04/04/07 10:18In-Line模式 直接将IDS串接在通信线路中。04/04/07 10:18TAP模式 以双向监听全双工以太网连接中的网络通信信息,这样能捕捉到网络中的所有流量,能更好地了解

40、网络攻击的发生源和攻击的性质,为阻止网络攻击提供丰富的信息,并能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。04/04/07 10:18评价IDS的性能指标nPorras等给出了评价入侵检测系统性能的三个因素:q准确性(Accuracy)q处理性能(Performance)q完备性(Completeness)Debar等增加了两个性能评价测度等增加了两个性能评价测度容错性(容错性(Fault Tolerance)及时性(及时性(Timeliness)04/04/07 10:18评价IDS的性能指标nHIDS:漏报率、误报率、资源占用率;nNIDS:漏报率、误报率、特征库强度

41、;n模拟背景流量 -硬件:SmartBits,人为构造一定大小的数据报,从64bytes到1518bytes,衡量不同pps(packets per second)下IDS对攻击的检测情况。-软件:tcpdump&tcpreplay,对流量的回放。测试性能测试性能04/04/07 10:18评价IDS功能指标系统结构系统结构管理模式管理模式通讯安全通讯安全策略灵活性策略灵活性自定义事件自定义事件事件库更新事件库更新 易用性易用性综合分析综合分析 事件数量事件数量 结构:结构:探测引擎探测引擎:控制台:控制台:检测能力检测能力事件响应事件响应 自身安全自身安全04/04/07 10:18评价ID

42、S的功能指标控制中心探测引擎控制中心请求应答请求?传输数据是明文还是密文?通讯安全通讯安全04/04/07 10:18IDS的功能指标主动-入侵检测系统自身阻断-与防火墙联动-与Scanner联动-与防病毒产品联动-与交换机联动响应方式响应方式被动被动屏幕告警屏幕告警邮件告警邮件告警手机告警手机告警声音告警声音告警SNMPSNMP告警告警自定义告警自定义告警04/04/07 10:18IDS功能指标自身安全自身安全自身操作系统的安全自身操作系统的安全自身程序的安全自身程序的安全地址透明度地址透明度抗打击能力抗打击能力04/04/07 10:18IDS的功能指标日志分析日志分析04/04/07 10:18典型IDS产品介绍国外ISS RealSecure(WinNT)NFR Security NID-100/200 NAI CyberCop Intrusion Protection Cisco NetRanger(Unix)snort 04/04/07 10:18启明星辰天阗金诺KIDS中联绿盟冰之眼东软Neteye典型IDS产品介绍国内04/04/07 10:18六、入侵检测系统发展趋势学术界n智能化检测算法n数据挖掘产业界n应用层入侵检测的研究n入侵检测系统的标准化工作n宽带高速网络的实时入侵检测系统n入侵追踪、起诉的支持nIDSIPSIMS

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服