IDS入侵检测系统技术介绍(V10).ppt

IDS入侵检测系统技术介绍 产品管理部 更新日期：2007-02-05 修订记录 提 纲 什么是IDS IDS与FW IDS的实现方式 IDS的分析方式 IDS的结构 IDS面临的挑战 IDS的发展方向 什么是IDS IDS（Intrusion Detection System）就是入侵检测系统； 它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚的了解网络上发生的事件，并能够采取行动阻止可能的破坏。 IDS的职责 IDS系统的两大职责：实时检测和安全审计 实时检测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文； 安全审计：通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找处所需要的证据。 IDS的工作 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 与其它设备联动（防火墙、风险评估系统等） 形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据； 同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据； 它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容； 它还不仅仅只是摄像机，还包括保安员的摄像机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。 IDS的起源与发展 概念的诞生 1980年美国空军作了题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视），第一次详细阐述了入侵检测的概念，同时提出了采用审计数据跟踪方法来监视入侵活动的思想； 模型的发展 1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司的计算机科学实验室）Peter Neumann研究出了一个入侵监测模型，取名为IDES（入侵检测专家系统），它独立于特定的系统平台、应用环境、应用弱点以及入侵类型，真正提出的入侵检测思想。 百花齐放 1990年，美国加州大学第一次将网络数据流做为审计来源分析入侵活动，为入侵检测技术翻开新的一页，从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术两种方式不断发展壮大起来。 1994年提出自治代理，以提高IDS的可伸缩性、可维护性、效率与容错； 1998年将信息检索技术应用到入侵检测系统； 2000年出现分布时入侵检测系统，是IDS发展史上的一个里程碑。 提 纲 什么是IDS IDS与FW IDS的实现方式 IDS的分析方式 IDS的结构 IDS面临的挑战 IDS的发展方向 入侵的分类 外部的: 你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。 防火墙 绕过防火墙的攻击 穿过防火墙的攻击行为 防火墙的局限性 防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子 访问控制设备可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 防火墙的局限性 防火墙不能防止通向站点的后门 防火墙一般不提供对内部的保护 防火墙无法防范数据驱动型的攻击 防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者该类程序附在电子邮件上传输等 深层次防御体系的组成 入侵检测在立体防御体系中的作用 提 纲 什么是IDS IDS与FW IDS的实现方式 IDS的分析方式 IDS的结构 IDS面临的挑战 IDS的发展方向 IDS的产品分类 市场上的IDS可以分为两种： 网络入侵检测系统（NIDS) 主机入侵检测系统（HIDS） IDS的实现方式－网络IDS 网络入侵检测系统（NIDS) 以旁路侦听的方式接入到网络中 独立于被监测的系统之外 不会增加网络中主机的负载 IDS的实现方式－主机IDS 主机入侵检测系统（HIDS） 安装在被保护的主机之上 主要分析主机的内部活动，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。 其监测的主要资源包括：网络、文件、进程、系统日志等 主机IDS和网络IDS的比较 基于网络的IDS系统的主要优点 成本底 攻击者转移证据很困难 实时检测和应答 能够检测未成功的攻击企图 操作系统独立。基于网络的IDS并与依赖主机的操作系统做为检测资源。而基于主机的IDS系统需要特定的操作系统才能发挥作用。 基于主机的IDS系统的主要优势 非常适用于加密和交换环境 实时的检测和应答 不需要额外的硬件 提 纲 什么是ID