入侵检测系统(ids).pptVIP

入侵检测的分类 (混合IDS) 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 入侵检测系统分类（三） 根据系统工作方式来分： 在线入侵检测(IPS)，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。 离线入侵检测，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。 入侵检测的部署 IDS的部署模式： 共享媒介HUB 交换环境 隐蔽模式 Tap模式 In-line模式 入侵检测的部署 检测器部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网 入侵检测的部署 部署一 Internet 部署二 部署三 部署四 入侵检测的部署 检测器放置于防火墙的DMZ区域 可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点 入侵检测的部署 检测器放置于路由器和边界防火墙之间 可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型 入侵检测的部署 检测器放在主要的网络中枢 监控大量的网络数据，可提高检测黑客攻击的可能性 可通过授权用户的权利周界来发现未授权用户的行为 当前主流产品介绍 Computer Associates公司 SessionWall-3/eTrust Intrusion Detection Cisco公司 NetRanger IDS Intrusion Detection公司 Kane Security Monitor Axent Technologies公司 OmniGuard/Intruder Alert 当前主流产品介绍 Internet Security System公司 RealSecure NFR公司 Intrusion Detection Applicance 4.0 中科网威 “天眼”入侵检测系统 启明星辰 SkyBell(天阗） 免费开源软件 snort 入侵测系统的优点 入侵检测系统能够增强网络的安全性，它的优点： 能够使现有的安防体系更完善； 能够更好地掌握系统的情况； 能够追踪攻击者的攻击线路； 界面友好，便于建立安防体系； 能够抓住肇事者。 入侵检测系统的不足 入侵检测系统不是万能的，它同样存在许多不足之处： 不能够在没有用户参与的情况下对攻击行为展开调查； 不能够在没有用户参与的情况下阻止攻击行为的发生； 不能克服网络协议方面的缺陷； 不能克服设计原理方面的缺陷； 响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。 入侵检测技术的发展趋势 大规模分布式入侵检测，传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。 宽带高速网络的实时入侵检测技术，大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。 入侵检测技术的发展趋势 入侵检测的数据融合技术，目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。 与网络安全技术相结合，结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。 美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。 * 通用入侵检测构架(Common?Intrusion?Detection?Framework简称CIDF)组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件：事件产生器、事件分析器、响应单元和事件数据库。 ? * 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4.物理形式的入侵信息 实现信息收集，放在目标主机，目标主机所在的交换机或集线器的位置，收集哪