信息安全知识竞赛培训-入侵检测.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * In-Line模式 TAP模式 IDS应用指南 IDS的部署 评价IDS的性能和功能指标 典型IDS产品介绍 评价IDS的性能指标 Porras等给出了评价入侵检测系统性能的三个因素： 准确性（Accuracy） 处理性能（Performance） 完备性（Completeness） Debar等增加了两个性能评价测度 容错性（Fault Tolerance） 及时性（Timeliness） 评价IDS的性能指标 HIDS：漏报率、误报率、资源占用率； NIDS：漏报率、误报率、特征库强度； 模拟背景流量 --硬件：SmartBits，人为构造一定大小的数据报，从64bytes到1518bytes，衡量不同pps (packets per second)下IDS对攻击的检测情况。 --软件：tcpdump tcpreplay，对流量的回放。 测试性能 评价IDS功能指标 系统结构 管理模式 通讯安全 策略灵活性 自定义事件 事件库更新 易用性 综合分析 事件数量 结构： 探测引擎: 控制台： 检测能力 事件响应 自身安全 评价IDS的功能指标 控制中心 探测引擎 控制中心 请求 应答 请求 ？ 传输数据是明文还是密文？ 通讯安全 IDS的功能指标 主动 -入侵检测系统自身阻断 -与防火墙联动 -与Scanner联动 -与防病毒产品联动 -与交换机联动 响应方式 被动 屏幕告警 邮件告警 手机告警 声音告警 SNMP告警 自定义告警 IDS功能指标 自身安全 自身操作系统的安全 自身程序的安全 地址透明度 抗打击能力 IDS的功能指标 日志分析 IDS的功能指标 单行为事件演示 TCP_Doly后门连接 TCP [ustr.0]^%57%74%7a%75%70%20%55%73%65sport=6789 行为关联事件演示 FTP_口令扫描 FTP_注册失败 num(event,sip,dip)10 HTTP_ftp文件调用 HTTP_读命令 num(event=FTP_写命令,sip,dip)1 自定义事件 IDS应用指南 IDS的部署 评价IDS的指标 典型IDS产品 典型IDS产品介绍—国外 ISS RealSecure( WinNT) NFR Security NID-100/200 NAI CyberCop Intrusion Protection Cisco NetRanger( Unix) snort 启明星辰天阗 金诺KIDS 中联绿盟冰之眼 东软Neteye 典型IDS产品介绍—国内 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应用指南 入侵检测系统的发展趋势 入侵检测系统 入侵检测系统发展趋势 学术界 智能化检测算法 数据挖掘 产业界 应用层入侵检测的研究 入侵检测系统的标准化工作 宽带高速网络的实时入侵检测系统 入侵追踪、起诉的支持 IDS?IPS?IMS 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应用指南 入侵检测系统的发展趋势 总结 Title 版本： 编号： 日期：2003年 中国信息安全产品测评认证中心（CNITSEC） * * * * * * 形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机. * * * * * * * 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应用指南 入侵检测系统的发展趋势 入侵检测系统 CIDF组件 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units） 事件数据库（Event databases） Common Intrusion Detection Frame组件 CIDF组件 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应