网络信息安全技术第7章.ppt

7.5 典型的IDS系统及实例 入侵检测是网络安全领域中一个较新的课题。以往，网络安全工作者以主动的安全机制作为研究的重点。虽然每一种安全机制或安全策略的应用都可以使系统在某方面的安全性有较大的改善，但是网络体系结构的开放性特征和计算机软件本身固有的特性使得网络入侵仍然非常普遍，并且在目前的条件下入侵问题很难通过提出新的安全策略来彻底解决，因此，检测网络入侵行为就变得非常重要和有意义了。从20世纪90年代开始有了一些针对具体入侵行为或具体入侵过程进行的入侵检测的研究和系统， 1994年以后逐渐出现一些入侵检测的产品，其中比较有代表性的产品有ISS（Internet Security System）公司的Real Secure， NAI（Network Associates，Inc）公司的Cyber cop和Cisco公司的Net Ranger。 现在入侵检测系统已经成为网络安全中一个重要的研究方向而越来越受到重视。 目前的入侵检测系统大部分是基于各自的需求和设计独立开发的，不同系统之间缺乏互操作性和互用性，这对入侵检测系统的发展造成了障碍， 因此美国国防部高级研究计划局(DARPA， The Defense Advanced Research Projects Agency）在1997年3月开始着手公共入侵检测框架(CIDF，Common Intrusion Detection Framework）标准的制定。 现在加州大学Davis 分校的安全实验室已经完成了CIDF标准［9］的制定，IETF（Internet Engineering Task Force， Internet工程任务组）成立了入侵检测工作组，专门负责建立入侵检测数据交换格式标准，并提供支持该标准的工具， 以更高效率地开发入侵检测系统。 国内在这方面的研究起步较晚，目前也已经开始入侵检测标准IDF（Intrusion Detection Framework，入侵检测框架）的研究与制定。  如何选择入侵检测系统呢？选择入侵检测系统需要考虑多方面因素。但主要应考虑以下两点：首先，考查系统协议分析及检测能力，以及解码速率；其次，要注意入侵检测系统自身的安全性、精确度及完整度。系统的防欺骗能力和模式的更新速度也是必须考虑的因素之一。 下面是几种典型的攻击检测系统： （1）NAI公司的Cyber Cop攻击检测系统包括三个组成部分： Scanner、 Cyber cop Server和Cyber cop Netware。  Cyber cop Scanner 对Intranet、Web服务器、防火墙等网络安全环节进行全面的检查，从而发现这些网络所存在的薄弱环节。 Cyber cop Server的目标是在复杂的网络环境中提供防范、 检测和对攻击作出反应，并能采取自动抗击措施的工具。  Cyber cop Network的主要功能是在复杂的网络环境中通过循环监测网络流量（Traffic）的手段来保护网络上的共享资源。 Cyber cop能够生成多种形式的报告， 包括HTLM、ASCII正文、 RTF格式以及Comma Delimited格式。 （2） ISS公司（Internet Security System）的Real Secure 2.0 for Windows NT 是一种领导市场的攻击检测方案。Real Secure2.0提供了分布式安全体系结构，多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以采用128 bitTSA进行认证和加密。 （3） Abirnet公司的Session-Wall-32.1是一种功能比较广泛的安全产品，其中包括攻击检测系统功能。Session-Wall-32.1提供定义监控、过滤、及封锁网络通令量的规则的功能，因此其解决方案比较简洁、灵活。Session-Wall-32.1接到攻击后即向本地控制台发送警报、电子函件、 进行事件记录。 另外，具备向安全管理人员发出信息的功能， 其报表功能也比较强。 （4） Anzen公司的NFR（Netware Flight Recorder）提供了一个网络监控框架，利用这个框架可以有效地执行攻击检测任务。 OEM公司可以基于NFR定制具备比较专门用途的攻击检测系统， 有些软件公司已经开发出了各自的产品。  （5）IBM公司的IERS系统（Internet Emergency Response Service）是由两个部件组成：NetRanger检测器和Boulde