网络入侵检测模式下的输出选项.PPT

入侵检测 易 卫 E-mail: hnyiwei@126.com 2008.2.10 六. 典型的入侵检测系统介绍 入侵检测系统经过二十多年的发展，已经成为网络安全体系的一个重要组成部分。许多研究人员和厂商不断尝试实现IDS，实验室的入侵检测系统原型如今逐步变成实用的商业产品，一些入侵检测自由软件也纷纷出现。最近的几年，入侵检测技术越来越受到人们的重视，此领域的研究不断深入，出现了多种类型和品牌的入侵检测系统。虽然有些系统还不太成熟，性能指标还不是很理想，但应该看到，这几年在IDS的研究和产品化方面已经取得了长足的进步。 本章将介绍一些典型的入侵检测系统，首先介绍一些原型系统或概念系统，然后介绍一些典型的入侵检测产品。 6.1 概述 (1) 入侵检测系统经过二十多年的发展，已经成为网络安全体系的一个重要组成部分。许多研究人员和厂商不断尝试实现IDS，实验室的入侵检测系统原型如今逐步变成实用的商业产品，一些入侵检测自由软件也纷纷出现。最近的几年，入侵检测技术越来越受到人们的重视，此领域的研究不断深入，出现了多种类型和品牌的入侵检测系统。虽然有些系统还不太成熟，性能指标还不是很理想，但应该看到，这几年在IDS的研究和产品化方面已经取得了长足的进步。 本章将介绍一些典型的入侵检测系统，首先介绍一些原型系统或概念系统，然后介绍一些典型的入侵检测产品。 6.1 概述 (2) 一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。传感器负责采集数据(如网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理器的作用，商品化的产品通常提供图形界面的控制台。 可能将分析模块分开来。 从技术上看，IDS产品可以分为以下几类：基于网络的IDS产品和基于主机的IDS产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。 6.1 概述 (3) 1.基于网络的IDS产品(1) 基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，实时监视网段中的各类数据包，对每一个数据包或可疑的数据包进行分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至会直接切断网络连接。 目前，大部分入侵检测产品是基于网络的。在网络入侵检测系统中，有多个久负盛名的开放源码软件，它们是Snort、NFR、Shadow等，其中Snort 的社区()非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。 国内许多IDS产品都是在其基础上进行改进的。 6.1 概述 (4) 1.基于网络的IDS产品(2) 基于网络的入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，因此它不会成为系统中的关键路径。这样当网络入侵检测系统发生故障时也不会影响正常业务的运行。 因此在网络中配置一个网络入侵检测系统对被监控系统的影响比主机入侵检测系统的影响要少得多。网络入侵检测系统的安装也比较方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。 6.1 概述 (5) 1.基于网络的IDS产品(3): 基于网络的入侵检测系统存在一些弱点，主要有： ①. 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。 ②. 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 ③. 网络入侵检测系统可能会将大量的数据传回分析系统中，在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中传感器协同工作能力较弱。 ④ 另外，网络入侵检测系统处理加密的会话过程比较困难，目前通过加密通道的攻击尚不多，但随着IPV6的普及，这个问题会越来越突出。 6.1 概述 (6) 2.基于主机的IDS产品(1):