入侵检测技术要点.pptVIP

发展方向 更有效的集成各种入侵检测数据源，包括从不同的系统和不同的检测引擎上采集的数据，提高报警准确率； 在事件诊断中结合人工分析； 提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等； 采用一定的方法和策略来增强异种系统的互操作性和数据一 致性； 研制可靠的测试和评估标准； 提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发； 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段； 基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信 集中式：原始数据在分析之前要先发送到中央位置 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台 目标系统 审计记录收集方法 审计记录预处理 异常检测 误用检测 安全管理员接口 审计记录数据 归档/查询 审计记录数据库 审计记录 基于审计的入侵检测系统结构示意图 集中式基于主机的入侵检测结 集中式检测的优缺点 优点： 不会降低目标机的性能 统计行为信息 多主机标志、用于支持起诉的原始数据 缺点： 不能进行实时检测 不能实时响应 影响网络通信量 分布式基于主机的入侵检测结 分布式检测的优缺点 优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据 基于主机入侵检测系统工作原理 操作模式 操作主机入侵检测系统的方式 – 警告：用于检测关键任务误用 – 监视：更尽力地观察几个主体的行为 – 毁坏情况评估：确定计算机受损的程度 – 遵从性：用于确定用户是否在遵守安全策略 基于主机的入侵检测的好处 ? 威慑内部人员 ? 检测 ? 通告及响应 ? 毁坏情况评估 ? 攻击预测 ? 诉讼支持 ? 行为数据辨析 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题 基于网络的检测威胁 非授权访问 数据/资源的窃取 拒绝服务 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器 嗅探器 分析结果 基于网络的入侵检测系统模型 分布式网络节点结构 为解决高速网络上的丢包问题，1999年6月，出现的一种新的结构，将检测引擎分布到网络上的每台计算机上 每个检测引擎检查流经他的网络分组，然后检测引擎相互通信，主控制台将所有的告警聚集、关联起来 数据采集构件 应急处理构件 通信传输构件 检测分析构件 管理构件 安全知识库 分布式入侵检测系统结构示意图 基于网络入侵检测系统工作原理网络 基于网络的入侵检测的好处 威慑外部人员 检测 自动响应及报告 蓝盾入侵检测系统 蓝盾网络入侵检测系统特点 固化、稳定、高效的检测引擎 完备的功能 基于内核的千兆入侵检测系统 灵活的策略设置 反向拍照 实时的检测分析、响应 不断更新的入侵模式 运行中的实时系统升级 多网络检测、集中管理 强大的信息记录、查询能力 蓝盾网络入侵检测系统特点 简单易用 更低的漏报、误报率 与防火墙联动 免费的数据库 过滤无关数据 简单有效的流量分析 蓝盾主机入侵检测系统特点 异常检测 事件检测 完整性检测 多平台检测 事件综合分析和数据挖掘 与防火墙联动 自定义主机检测策略 应用程序监视 蓝盾分布式入侵检测系统特点 分布式管理 策略分发 事件分布式管理 安全加密传输 例子: 番禺东城小城 HUB 检测引擎 Servers 控制中主 Internet 日本 台湾 入侵检测的部署 入侵检测的部署 NIDS的位置必须要看到所有数据包 共享媒介HUB 交换环境 隐蔽模式 千兆网 共享媒介 HUB 检测引擎 Servers 控制中主 交换环境 Switch 检测引擎 Servers 控制中心 通过端口镜像实现 （SPAN / Port Monitor） 隐蔽模式 Switch 检测引擎 Servers 控制中心 不设IP 千兆网络 IDS 检测引擎 L4或L7 交换设备 蓝盾入侵检测系统典型应用1 蓝盾入侵检测典型应用2 边缘路由器 病毒服务器 防火墙 IDS探测器 Internet 内网 VPN 解密 暂时缓存数据 查询病毒服务器 查询病毒服务器 数据包带有病毒吗 是否攻击包？ YES NO 先杀毒再转发数据包 直接转发该数据包 YES 蓝盾整体解决方案图 通知防火墙阻断攻击 通过蓝盾防火墙与病毒服务器、IDS、VPN等其他安全产品联动，构成一个有机、整体的安全解决方案 生成动态规则阻断攻击 入侵检测的发展方向 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 结果处理 入侵检测性能关键