课件：《计算机网络与信息安全技术》电子CH入侵检测与防御技术.ppt

9.3 入侵检测系统的性能指标 1．系统结构 好的IDS应能采用分级、远距离分式部署和管理。 9.3 入侵检测系统的性能指标 2．事件数量 考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。 3．处理带宽 IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量。 9.3 入侵检测系统的性能指标 4．探测引擎与控制中心的通信 作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。 身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。 9.3 入侵检测系统的性能指标 5．事件定义 事件的可定义性或可定义事件是IDS的一个主要特性。 6．二次事件 对事件进行实时统计分析，并产生新的高级事件能力。 7．事件响应 通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。 还可通过TCP阻断、防火墙联动等方式主动响应。 9.3 入侵检测系统的性能指标 8．自身安全 自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。 9．终端安全 主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。 9.4 入侵防御系统简介 IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。 IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。 9.5 蜜网Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。 这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。 9.5 蜜网Honeynet 利用Snort软件安装Win2000Server下的蜜网陷阱 Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。 构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。 acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台 adodb360.zip ADOdb（Active Data Objects Data Base）库for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服务器 jpgraph-1.12.2.tar.gz OO 图形库for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 数据库服务器 php-4.3.2-Win32.zip Windows 版本的p