IDS入侵检测系统如何开辟服务.docVIP

IDS入侵检测系统如何开辟服务： IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。 入侵检测简单地说就是检测并响应针对计算机系统或网络的入侵行为的学科。它包括了对系统的非法访问和越权访问的检测；包括了监视系统运行状态，以发现各种攻击企图、攻击行为或者攻击结果；还包括了针对计算机系统或网络的恶意试探的检测。而上述各种入侵行为的判定，即检测的操作，是通过在计算机系统或网络的各个关键点上收集数据并进行分析来实现的。 NSTAC: 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 IDS检测的分类： 基于主机的入侵检测：系统审计记录，系统日志，应用程序日志，其它数据源，比如文件系统信息。 基于网络的入侵检测 混合式的入侵检测 入侵检测系统的主要作用： 识别并阻断系统活动中存在的已知攻击行为，防止入侵行为对受保护系统造成损害。 识别并阻断系统用户的违法操作行为或者越权操作行为，防止用户对受保护系统有意或者无意的破坏。 检查受保护系统的重要组成部分以及各种数据文件的完整性。 审计并弥补系统中存在的弱点和漏洞，其中最重要的一点是审计并纠正错误的系统配置信息。 记录并分析用户和系统的行为，描述这些行为变化的正常区域，进而识别异常的活动。 通过技术手段记录入侵者的信息、分析入侵者的目的和行为特征，优化系统安全策略。 加强组织或机构对系统和用户的监督与控制能力，提高管理水平和管理质量。 IDS检测实例 端口扫描和信息收集 nmap、finger、rpcinfo、DNS query 漏洞扫描 X--scanner、其它扫描器 常见攻击手法 buffer overflow （IIS、Sun RPC、Linux） 后门木马 NetBus、BO2K、冰河 拒绝服务 SYN Flood、UDP Flood、UDP Bomb、IPFrag、DDoS NIDS 部署方式 NIDS的位置必须要看到所有数据包 共享媒介HUB，交换环境，隐蔽模式，千兆网，分布式结构，探测器，控制中心 实际网络环境中的部署方式 在外部网络中设置NIDS(放在防火墙前面)，可以捕捉外部攻击机的真实地址来源并调整防火墙进行相应的阻断 在内部网络中设置NIDS(放在防火墙后面)，可以捕捉内部攻击机的真实地址来源 在所保护的主机上安装HIDS，重点分析系统做接受的操作及相应用户的系统行为，以弥补NIDS的遗漏点 同时采用以上三种设置方式相结合能更好的保护网络安全，更全面的监测所保护的网络系统 主流入侵检测产品介绍： 国内的启明星辰、安氏、金诺、瑞星等 Cisco的Cisco Secure IDS Network Security Wizards的Dragon IDS Intrusion Detection的Kane Security Monitor Internet Security System的RealSecure Axent Technologies的OmniGuard/Intruder Alert Computer Associates的SessionWall-3/eTrust Intrusion Detection NFR的NlD系统 Trusted Information System的Stalkers Network Associates（NAI）公司的CyberCop Monitor CyberSafe的Centrax