5.6几种常见的IDS系统.ppt

5.6 几种常见的IDS系统 ; 目前的入侵检测系统大部分是基于各自的需求和设计独立开发的，不同系统之间缺乏互操作性和互用性，这对入侵检测系统的发展造成了障碍， 因此美国国防部高级研究计划局(DARPA， The Defense Advanced Research Projects Agency）在1997年3月开始着手公共入侵检测框架(CIDF，Common Intrusion Detection Framework）标准的制定。 现在加州大学Davis 分校的安全实验室已经完成了CIDF标准［9］的制定，IETF（Internet Engineering Task Force， Internet工程任务组）成立了入侵检测工作组，专门负责建立入侵检测数据交换格式标准，并提供支持该标准的工具， 以更高效率地开发入侵检测系统。 ; 国内在这方面的研究起步较晚，目前也已经开始入侵检测标准IDF（Intrusion Detection Framework，入侵检测框架）的研究与制定。  如何选择入侵检测系统呢？选择入侵检测系统需要考虑多方面因素。但主要应考虑以下两点：首先，考查系统协议分析及检测能力，以及解码速率；其次，要注意入侵检测系统自身的安全性、精确度及完整度。系统的防欺骗能力和模式的更新速度也是必须考虑的因素之一。 ; 下面是几种典型的攻击检测系统： （1）NAI公司的Cyber Cop攻击检测系统包括三个组成部分： Scanner、 Cyber cop Server和Cyber cop Netware。  Cyber cop Scanner 对Intranet、Web服务器、防火墙等网络安全环节进行全面的检查，从而发现这些网络所存在的薄弱环节。 ; Cyber cop Server的目标是在复杂的网络环境中提供防范、 检测和对攻击作出反应，并能采取自动抗击措施的工具。  Cyber cop Network的主要功能是在复杂的网络环境中通过循环监测网络流量（Traffic）的手段来保护网络上的共享资源。 Cyber cop能够生成多种形式的报告， 包括HTLM、ASCII正文、 RTF格式以及Comma Delimited格式。 ; （2） ISS公司（Internet Security System）的Real Secure 2.0 for Windows NT 是一种领导市场的攻击检测方案。Real Secure2.0提供了分布式安全体系结构，多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以采用128 bitTSA进行认证和加密。 ; （3） Abirnet公司的Session-Wall-32.1是一种功能比较广泛的安全产品，其中包括攻击检测系统功能。Session-Wall-32.1提供定义监控、过滤、及封锁网络通令量的规则的功能，因此其解决方案比较简洁、灵活。Session-Wall-32.1接到攻击后即向本地控制台发送警报、电子函件、 进行事件记录。 另外，具备向安全管理人员发出信息的功能， 其报表功能也比较强。 ; （4） Anzen公司的NFR（Netware Flight Recorder）提供了一个网络监控框架，利用这个框架可以有效地执行攻击检测任务。 OEM公司可以基于NFR定制具备比较专门用途的攻击检测系统， 有些软件公司已经开发出了各自的产品。  （5）IBM公司的IERS系统（Internet Emergency Response Service）是由两个部件组成：NetRanger检测器和Boulder监控中心。NetRanger检测器负责监听网络上的可识别的通信数字签名， 一旦发现异常情况， 就启动Boulder监控中心的报警器。 ; （6） 中科网威信息技术有限公司的“天眼”入侵检测系统、 “火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况， 由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果研制成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时发现并及时提出解决方案，它可列出供参考的全热链接网络和系统中易被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。 ; （7） 启明星辰公司的黑客入侵检测与预警系统，集成了网络监听监控、实时协议分析、入