7计算机入侵检测系统.ppt

华为IDS2000模块化数据中心案例SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）入侵检测的部署检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网入侵检测的部署检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网入侵检测的部署Internet部署一部署二部署三部署四入侵检测的部署防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。?

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机。在实际的部署中，IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道闸门，是防火墙的必要补充，可构成完整的网络安全解决方案。?入侵检测的部署严格地说，IDS并不是一个防范工具，它并不能阻断攻击。只有防火墙才能限制非授权的访问，在一定程度上防止入侵行为。而IDS提供快速响应机制，报告入侵行为，意味着一种牵制政策。IDS可以与防火墙在功能上实现联动，进行很好地配合，将大大提高网络系统的安全性。当IDS检测到入侵行为发生，立即发出一个指令给防火墙，防火墙马上关闭通讯连接，从而阻断入侵。目前，大部分的IDS产品基本上由入侵检测引擎和管理控制台组成，在具体应用时可以根据网络结构和需求做不同的部署。一般都部署在需要重点保护的部位，如企业内部重要服务器所在的子网，对该子网中的所有连接进行监控。根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口（SpanPort）上、或专为监听所增设的分接器（Tap）上。?入侵检测的部署检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型入侵检测的部署检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为入侵检测的部署IDS目前存在的问题关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。五、入侵检测技术发展方向入侵或攻击的综合化与复杂化入侵主体对象的间接化入侵或攻击的规模扩大入侵或攻击技术的分布化攻击对象的转移分布式入侵检测智能化入侵检测全面的安全防御方案********基于主机的入侵检测系统的功能内网二、入侵检测的分类(基于主机的IDS)Internet能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。基于主机的IDS与基于网络的IDS相比通常能够提供更详尽的相关信息。基于主机的IDS通常情况下比基于网络的IDS误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。基于主机的入侵检测的优势内网二、入侵检测的分类(基于主机的IDS)Internet能精确的判断供给行为是否成功能监控主机上特定用户活动和系统运行情况HIDS能检测到NIDS无法检测到的攻击HIDS能适用加密和交换的环境不需要额外的硬件设备基于主机的入侵检测的局限内网二、入侵检测的分类(基于主机的IDS)InternetHIDS对被保护主机的性能和安全性会带来一定的影响HIDS的安全性会受到宿主机操作系统的限制HIDS的数据源会受到审计系统限制被木马化的系统内核能骗过HIDS维护/升级不方便混合IDS二、入侵检测的分类(混合IDS)基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单