IDS技术与方案(new.pptVIP

入侵检测（IDS）技术与方案 内容 基本概念 技术分类 实现原理 部署方案 测试方案 产品介绍 内容 基本概念 技术分类 实现原理 部署方案 测试方案 产品介绍 什么是入侵检测？ 入侵检测系统（Intrusion Detection System或者称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。 入侵检测系统作为主动保护自己免受攻击的网络安全技术，处于防火墙之后，在不影响网络性能的情况下对网络和系统进行实时监测，可以有效地防止或减轻上述的网络威胁，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。因此IDS成为防火墙之后的第二道安全闸门，不仅愈来愈多地受到人们的关注，而且已经开始在各种不同的环境中发挥关键作用 。 IDS能做什么？ 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 常见安全产品 身份认证 加密 防病毒 防火墙 入侵检测 IDS与防火墙的关系？ 有的防火墙能够检测到一些类型的攻击，例如SubSeven后门程序所使用的27374端口。当检测到攻击者利用特殊的数据包对网络渗透时，防火墙还能报警。从严格的意义上来说，这是IDS的功能。然而，防火墙使用的检测技术仅仅是简单的决定什么样的数据包能够或不能够进出网络，而不能期望它去分析每个数据包中的内容。甚至连代理型的防火墙都不能去检测每个数据包中的所有内容，因为这样做非常耗CPU的资源。 防火墙检查数据包的包头部分，决定是否放行或丢弃。IDS检查数据包的包头和数据部分，发现有恶意攻击的内容要发出警报。 不同的网络位置（并行和串行） 防内和防外 IDS与防病毒产品的关系？ IDS只能检测出一些病毒，主要是基于某些漏洞传播的蠕虫。只有专业的防病毒软件能抵御所有的病毒。 不同的网络位置（并行和串行） IDS作用 很多机器被攻击的理由仅仅是被用来做DDOS攻击的跳板。 互联网上的盗版者使用网络中容易被攻击的WEB站点存放盗版信息，散布盗版软件和色情内容。 不经过我们的同意，我们的系统被用来作为邪恶的，不合法的活动的跳板。 IDS的日志记录是重要的攻击证据 IDS能让我们了解我们的网络的健康和安全 IDS能发现失败的以管理员身份登陆的企图和密码猜测程序。 内置式IDS能够在发现攻击时及时阻止攻击并通知管理员。 IDS能够发现攻击并弥补其他网络设备的不足，例如防火墙和路由器。 IDS的日志信息能作为加强公司安全策略的参考。 防火墙的规则和路由器的访问列表能够执行特定的功能。 缓冲区溢出攻击在现在的攻击中类型中占了很大的百分比，Snort内置了很多检测缓冲区溢出攻击的规则。 后门和木马是带有恶意代码的远程控制程序，目的是为了控制我们的机器。Snort能够检测这些木马的通讯，从而在后门和木马活动时报警。 邮件服务器是攻击者的主要目标。因为这些服务器必须在互联网上进行访问，所以很容易遭到攻击。Snort有很多规则可以检测对邮件服务器的攻击，还能够检测邮件病毒。 除了检测入侵，IDS还能做很多其他工作，包括监视数据库的访问，监视DNS服务，保护邮件服务器，监督公司的安全策略等。 内容 基本概念 技术分类 实现原理 部署方案 测试方案 产品介绍 IDS的分类 主机入侵检测（HIDS） 网络入侵检测（NIDS） 分布式入侵检测（DIDS） 资源 IDS FAQ /pubs/ Focus-IDS Mailinglist /archive/96 Yawl OldHand Sinbad /doc.html?board=IDS 产品功能 攻击检测 状态维护和重组 应用层协议解码 非法外联检测 地址欺骗检测 策略编辑和策略模板 多种响应方式 网络流量统计 内容检测 回话回放 远程管理 远程升级 用户管理 审计和报表 数据库管理 攻击检测 ★ 检测多种攻击行为 检测1400多种攻击 细粒度检测技术 网络层状态维护和重组 ★ IP碎片重组 防止IP碎片类型的攻击 防止IP碎片欺骗 ★ TCP状态跟踪和流重组 协议异常检测 防范针对IDS的DoS攻击 增强应用层检测能力 应用层协议解码 ★ 应用层协议解码 理解网络行为 进一步分析的基础 基于应用层解码的自定义规则 高精度模式匹配 会话记录 异常行为记录 检测非法外联、地址欺骗 ★ 非法外联检测 检测网络中的非法拨号 和入侵检测无缝集成，无需客户端代理 ★ 防IP地址欺骗 受护网络中主机的IP—MAC的纪录跟踪 策略模板 ★ 策略模