第6章动态侦测与入侵检测技术要点.ppt

入侵检测（IDS） 定义 部署在指定的网段上（一般在防火墙里面）及早发现具有入侵特征的网络通信行为，并启动有关的处置（比如切断连接等）的系统 类型 面向网络的 面向主机的 面向行为的 入侵检测的原理 入侵行为有一定的规律，通过对网络流量和主机审计记录的分析可以判断 判断有时间限制，只有赶在穿透成功之前实现识别和响应，才能达到拦截的效果 公式：PtDt+Rt （入侵检测在公式成立时才有意义） Pt： 穿透时间 Dt: 检测时间 Rt: 响应时间 入侵检测系统的类型 面向网络的 在共享的网络或者交换网络的监听端口上部署，从网络流量中识别攻击特征串（比如缓冲区溢出攻击中使用的攻击代码） 面向主机的 从主机的系统调用拦截、审计日志分析等渠道获取数据、识别攻击特征 面向行为的 主要针对大规模的网络行为异常（DDoS攻击） ** 第六章 动态侦测与入侵检测技术 网络信息安全技术 本章主要内容 第一章 概 述 基本原理 主要类型 关键技术 基础设施 第六章 动态侦测与入侵检测技术 第一章 概 述 第六章 动态侦测与入侵检测技术 第一章 概 述 第一章 概 述 第六章 动态侦测与入侵检测技术 第六章 动态侦测与入侵检测技术 面向网络的入侵检测系统 攻击特征库 特征分析 引擎 数据捕获 前端 配置与报警终端 联动接口 第六章 动态侦测与入侵检测技术 面向主机的入侵检测系统 系统日志 系统特征 系统事件传感器 分析引擎 规则库 配置与报警终端 联动接口 第六章 动态侦测与入侵检测技术 面向行为的入侵检测系统 行为特征库 行为分析 引擎 数据捕获 前端 配置与报警终端 联动接口 第六章 动态侦测与入侵检测技术 入侵检测产品的局限和挑战 数据捕获的性能压力 期待专门的高性能网卡 数据包还原的性能压力 使用大规模并行机、合理的负载均衡策略 在线多关键词全文扫描匹配的性能压力 需要算法的改进，尤其需要支持串比较流水作业的专用芯片 与其他网络安全设备的连动 与防火墙、路由器的的联动 与其他IDS的联动 联动的数据交换标准问题 第六章 动态侦测与入侵检测技术 入侵检测产品的产业特点 用户群规模中等，适合重点防范用 近来有与防病毒产品结合的趋势（由于病毒的网络化和黑客手法向病毒的渗透） 可部署在远程，分布检测，集中响应，是很好的服务模式，但有政策上的难度（有远程侦听能力，业主是否放心） 可结合内容安全的若干需求，集成起来 第六章 动态侦测与入侵检测技术 与时俱进 入侵检测是不断“与时俱进”的 随着新的漏洞、新的攻击手段的不断出现，入侵检测系统必须不断地“升级”，把新的入侵特征放进去，这样才能适应攻防技术不断发展的形势的需要 第六章 动态侦测与入侵检测技术 IDS自身的安全性 和防火墙类似 针对IDS的阈下攻击