入侵检测8.ppt

HDIS的优点 更准确地确定入侵攻击是否成功； 监视特定的系统活动； 检测到NIDS无法检测的攻击； 非常适用于加密和交换环境； 不需要额外的硬件； HIDS的不足 实时性较差； 隐蔽性较差； 占用主机资源； 受到宿主操作系统的限制； 升级、维护困难； 基于网络的NIDS 通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 特点： 安装于被保护的网段（通常是共享网络）中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 基于网络入侵检测系统的实现 NDIS的优点 成本低、隐蔽性好、不影响被保护主机的性能、易维护 ； 攻击者转移证据很困难； 实时检测和应答； 能够检测未成功的攻击企图； 操作系统独立； NDIS的不足 不适合处理加密数据； 防入侵欺骗的能力较差； 如何适应高速网络环境； 非共享网络上如何采集数据； NIDS的应用模型 NIDS的位置必须要看到所有数据包 共享媒介HUB 交换环境 分布式结构 探测器（Sensor） 控制台（Console） 共享媒介HUB HUB 探测器 Monitored Servers 控制台 交换环境 交换机 探测器 Monitored Servers 控制台 通过端口镜像实现 （SPAN / Port Monitor） 面临问题 (1)? 随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击； (2)? 入侵者采用加密手段传输攻击信息； (3)? 日益增长的网络流量导致检测分析难度加大； (4)? 缺乏统一的入侵检测术语和概念框架； (5)? 不适当的自动响应机制存在着巨大的安全风险； (6)? 存在对入侵检测系统自身的攻击； (7)? 过高的错报率和误报率，导致很难确定真正的入侵行为； (8)? 采用交换方法限制了网络数据的可见性； (9)? 高速网络环境导致很难对所有数据进行高效实时分析； 发展方向 更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率； 在事件诊断中结合人工分析； 提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等； 采用一定的方法和策略来增强异种系统的互操作性和数据一致性； 研制可靠的测试和评估标准； 提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发； 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段； 入侵防御系统（IPS） IPS（Instrusion Prevention System）是一种智能化的入侵检测和防御产品，不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。 “蜜罐”技术 蜜罐（Honeypot）有时也称为数字沙箱。从本质上讲，蜜罐是一个让攻击者进入并且观察他们的人工环境，避免对真正的系统造成危害。好的蜜罐看起来像一个真正的网络、应用服务器、用户系统和网络流量等，但是通常是由一个或几个系统运行特定的软件模拟大多数目标网络的用户和网络通信流。 小结 ?入侵检测作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测系统理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品乃具有较大的发展空间；从技术途径来讲，除了完善常规的、传统的技术（模式是别和完整性检测）外，应重点加强统计分析的相关技术研究。? 目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机合基于网络两种方式兼备的分布系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。 谢 谢 ！ * 上一讲主要内容 防火墙基本知识 防火墙技术 防火墙结构 防火墙的接入方式 防火墙的发展 防火墙的其它问题 第十讲入侵检测技术 主讲人：谷利泽 Email：glz_bupt@263.net Tel: 010主要内容 入侵检测基本知