6.（研）Internet安全－IDS.pptVIP

* * * * * * * RealSecure: 检测和响应系统及网络中的漏洞只是ISS安全解决方案的一部分。RealSecure采用C/S分布式结构，由三部分组成Console,Network Engine和System Agent,它的特点就是提供实时的网络监视，并允许用户在系统受到危害之前截取和响应安全漏洞和内部网络误用。RealSecure engines可以装在 在NT或UNIX主机上，它负责探听网络中的每一个信息包，对它们进行解析，检查每一个可能危及网络或系统的行为。如图所示，黑客一旦突破防火墙，RealSecure Network Engine立即会检测到黑客的攻击行为，把他记录到日志中，并自动切断连接，同时自动调整防火墙或路由器阻止黑客的进一步攻击。另外，它把这些信息发送给Console.更重要一点，拒ErnstYoung/InfoWeek的调查，80%以上的攻击来自内部，防火墙对内部攻击无能为力，RealSecure也可以保护网络免受内部的攻击。RealSecure就象24小时的保安一样为我们保驾护航。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 所有的黑客攻击都由这样的要素： 攻击的主体——攻击者 攻击的客体——我们的系统和网络，系统和网络存在的漏洞为攻击者提供了攻击的客观条件 再有就是攻击的过程 ISS对反黑技术的研究： 针对系统和网络漏洞——研究漏洞扫描、评估技术，帮助加固系统的安全性 针对黑客攻击的过程——研究实时入侵检测系统，及时对黑客的入侵给予阻止、防范甚至反击。 对攻击者的惩罚，主要由法律和专政机关解决。 * * * * * * * * * System Security Scanner 它可以独立工作，也可以和Internet Scanner协同工作。System Scanner对网络中每一个系统的安全配制进行漏洞评估分析。它分为两部分：System Agent 和System Console,采用C/S分布式结构,System Agent安装在目标主机上，检查主机系统的错误的系统配制，用户错误和安全弱点，进行我们目前已经发现的上千种的漏洞检查并产生详尽的报告。根据报告，我们可以了解整个系统中所存在的漏洞，最后如何去修补它。通过SAFEsuite构架，还可以把信息传送给更高层次的网络和系统管理系统象OV，Tivoli 和 CA Unicerter,通知他们目前的网络状态和应采取的对策。 * * * * * * * CIDF(Common Intrusion Detection Framework，网址http：///）阐述了一个入侵检测系统的通用模型。如图所示。CIDF将入侵检测系统需要分析的数据统称为事件（event），事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 CIDF讨论关于入侵检测系统协同的问题，主要介绍一种通用入侵说明语言（CISL），即系统事件、分析结果及响应指示的通用表示。把入侵检测系统从逻辑上分为面向任务的组件,CIDF试图规范一种通用的语法格式和编码方式以表示在组件边界传递的数据。 入侵检测系统的基本结构 * CIDF模型 入侵分析 数据存储 知识库 入侵响应 事件提取 * （1） 事件产生器 事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。并且将这个数据进行保存，一般是保存到数据库中。 （2） 事件分析器 事件分析器的功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；一是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。 * （3） 响应单元 响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。 （4） 事件数据库 事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用来进行以后的分析与检查。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 外部攻击 发出警报 记录会话 中断可疑会话 发出警报 邮件/ 日志/ 报告 邮件/ 日志/报告 重新配置防火墙 和路由器 内部攻击 记录会话 记录日志 报告 * 动态响应 动态调整防火墙 * 入侵发现检查的内容