眼镜蛇入侵检测系统介绍.pptVIP

“眼镜蛇”入侵检测系统介绍 北京海信数码科技有限公司 背 景 基 本 概 念 基 本 功能及特点 核 心 技 术 产 品 分 类 基于网络的IDS 基于主机的IDS 为什么要用IDS 国内外同类产品 入侵检测系统各组成部分 海信“眼镜蛇”技术优势 海信“眼镜蛇”产品特点 海信“眼镜蛇”产品特点 海信“眼镜蛇”产品特点 海信“眼镜蛇”产品特点 海信“眼镜蛇”典型部署 * 近几年来随着计算机技术的发展，基于网络的计算机应用系统成为主流。计算机网络在现代生活和工作中的重要作用越来越重要。人们也越来越需要网络。但是随之而来的计算机网络安全问题也不断增加，网络的安全成为人们关注的焦点。 目前，解决网络安全问题的主要技术手段有认证授权、数据加密、访问控制等，它们在防御网络入侵方面有一定的作用。但是网络安全是一个综合的、立体的工程，单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补了其它静态防御工具的不足。 入侵检测从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象 。它是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。 ◆ 智能检测攻击行为，及时准确报警和终止会话；◆ 实时监测与追踪，并具有超强的自我防护能力；◆ 性能优越并支持多网卡、多网段同时检测；◆ 支持网络访问策略，能够检测未授权访问；◆ 集中式管理、分布式探测，适合复杂网络；◆ 透明接入不影响网络性能，使用简单方便；◆ 管理功能强大，操作简单，配置灵活方便；◆ 动态调整防火墙安全策略，实时阻断攻击； ◆ 准确检测变形攻击和欺骗攻击，漏报、误报率低；◆ 灵活的报警方式，使管理员及时了解网络安全状况；◆ 自动备份入侵检测日志，自动在线升级攻击特征库；◆ 详尽的日志记录，灵活的查询方法，快速的检索手段；◆?多样化的报表形式，可生成多种形式的统计报表； 入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从分析方式上分为两种：1.异常发现技术　　假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。2.模式发现技术　 假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。 IDS一般从实现方式上分为两种：1.基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。2.基于主机的IDS  基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。 一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。 基于网络的入侵检测系统的主要优点包括: ◆ 低拥有成本； ◆ 攻击者转移证据更困难； ◆ 实时检测和应答; ◆ 能够检测未成功的攻击企图; ◆ 透明检测不影响业务系统性能； ◆ 操作系统独立； 基于主机的入侵检测系统的