单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,广东天海威数码技术有限公司,入侵检测系统,概述,广东天海威数码技术有限公司入侵检测系统概述,1,大纲,前言,入侵检测系统简介,入侵检测系统分类,入侵检测系统技术原理,入侵检测系统的布署,入侵检测主要功能指标,大纲前言,2,一、入侵检测系统,简介,入侵检测系统定义,入侵检测系统,（Intrusion Detection System,简称IDS）:顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。,特征,收集信息,分析信息,给出结论,做出反应,一、入侵检测系统简介 入侵检测系统定义,3,一、入侵检测系统,简介,为什么需要入侵检测系统,是对防火墙的补充,在入侵成功之前进行识别,能减少入侵攻击所造成的损失,收集入侵攻击的相关信息，留作证据,更新防范系统的知识库,一、入侵检测系统简介 为什么需要入侵检测系统,4,一、入侵检测系统,简介,入侵检测系统的发展,以,Denning,模型为代表的IDS早期技术,中期：统计学理论和专家系统相结合,基于网络的NIDS是目前的主流技术,入侵检测系统发展趋势,detaile,一、入侵检测系统简介 入侵检测系统的发展,5,二、入侵检测系统的分类,入侵检测系统(Intrusion Detection System),通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。,从技术上看，这些产品基本上分为以下几,类：,基于网络的入侵检测系统(NIDS),基于主机的入侵检测系统(HIDS),分布式入侵检测系统(DIDS),此外，文件的完整性检查工具也可看作是一类入侵检测产品。,二、入侵检测系统的分类 入侵检测系统(Intrusion,6,二、,入侵检测系统的分类,基于网络的入侵检测系统（NIDS）,通过端口镜像实现,（SPAN/Port Monitor）,二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）,7,二、,入侵检测系统的分类,基于网络的入侵检测系统（NIDS）,网络入侵检测系统的优点：,检测基于网络的攻击。,安装在网络关键点，不需要改变服务器等主机的配置。,以并联的方式接入网络，不影响网络性能。,简单易用。,网络入侵检测系统的弱点：,网络结构导致网络数据来源不充分，受交换环境影响。,漏报和误报的矛盾。,海量信息与分析代价的矛盾。,检测加密网络数据困难。,二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）,8,二、,入侵检测系统的分类,基于主机的入侵检测,系统,二、入侵检测系统的分类基于主机的入侵检测系统,9,二、,入侵检测系统的分类,基于主机的入侵检测,主机入侵检测系统的优点：,1)检测入侵误报率低,2)获取入侵信息详细,3)不受交换环境影响,4)监测系统内部入侵和违规操作,5)可以对本机进行防护和阻断,主机入侵检测系统的弱点：,主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。,会影响保护设备的性能。,安装管理麻烦。,操作系统局限,系统日志限制,被修改过的系统核心能够骗过文件检查,二、入侵检测系统的分类基于主机的入侵检测,10,二、,入侵检测系统的分类,分布式入侵检测系统（DIDS）,二、入侵检测系统的分类分布式入侵检测系统（DIDS）,11,三、入侵检测系统技术原理,检测技术,基于特征（Signature-based）,维护一个入侵特征知识库,准确性高,基于异常（Anomaly-based）,统计模型,专家系统,误报较多,三、入侵检测系统技术原理检测技术,12,三、入侵检测系统技术原理,1、网络入侵检测,安装在被保护的网段中,混杂模式监听,分析网段中所有的数据包,实时检测和响应,操作系统无关性,不会增加网络中主机的负载,三、入侵检测系统技术原理1、网络入侵检测,13,三、入侵检测系统技术原理,1、网络入侵检测系统技术原理,黑客入侵,的过程,和阶段,阶段 3:,攻击,&,资源控制,Password,attacks,Privilege,grabbing,Trojan Horse,Vandalism,Audit Trail,Tampering,Admin Changes,Theft,Internet,阶段 2:,边界渗透,App.Attack,Spoofing,Protocol exploits,Denial of Service,阶段1:,踩点&扫描,Scanning&,probing,Automated,网络入侵检测系统,网络入侵检测系统,三、入侵检测系统技术原理1、网络入侵检测系统技术原理阶段 3,14,三、入侵检测系统技术原理,2、网络入侵检测系统技术原理,Internet,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,NIDS,NIDS,NIDS,三、入侵检测系统技术原理2、网络入侵检测系统技术原理Inte,15,三、入侵检测系统技术原理,3、网络入侵检测系统技术原理,工作,原理,Internet,NIDS,网络服务器1,数据包,=包头信息+有效数据部分,客户端,网络服务器2,X,检测内容：,包头信息+有效数据部分,三、入侵检测系统技术原理3、网络入侵检测系统技术原理Inte,16,三、入侵检测系统技术原理,4、网络入侵检测系统技术原理,设计,原理,三、入侵检测系统技术原理4、网络入侵检测系统技术原理,17,三、入侵检测系统技术原理,1、主机入侵检测,安装于被保护的主机中,主要分析主机内部活动,系统日志,系统调用,文件完整性检查,占用一定的系统资源,三、入侵检测系统技术原理1、主机入侵检测,18,三、入侵检测系统技术原理,3、主机入侵检测系统技术原理,Internet,网络服务器1,客户端,网络服务器2,X,检测内容：,系统调用、设备监控、端口调用、系统日志、安全审记、应用日志、文件防护监控、注册表监控等。,其它功能：个人版防火墙。,特点：集中管理和报警。,HIDS,X,HIDS,工作,原理,三、入侵检测系统技术原理3、主机入侵检测系统技术原理Inte,19,三、入侵检测系统技术原理,4、主机入侵检测系统技术原理,设计,原理,三、入侵检测系统技术原理4、主机入侵检测系统技术原理,20,三、入侵检测系统技术原理,1、分布式入侵检测系统技术原理,设计,原理,三、入侵检测系统技术原理1、分布式入侵检测系统技术原理,21,三、入侵检测系统技术原理,项目,HIDS,NIDS,误警,无,一定量,漏报,与技术水平相关,与数据处理能力有关(不可避免),系统部署与维护,与网络拓扑无关,与网络拓扑相关,检测规则,少量,大量,检测特征,事件与信号分析,特征代码分析,安全策略,基本安全策略(点策略),运行安全策略(线策略),安全局限,到达主机的所有事件,传输中的非加密非保密信息,安全隐患,违规事件,攻击方法或手段,三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报,22,四、入侵检测系统的布署,NIDS的位置必须要看到所有数据包,共享媒介HUB,交换环境,隐蔽模式,千兆网,分布式结构,Sensor,Console,四、入侵检测系统的布署 NIDS的位置必须要看到所有数据包,23,四、入侵检测系统的布署,HUB,IDS Sensor,Monitored Servers,Console,共享媒介,四、入侵检测系统的布署 HUBIDS SensorMonit,24,四、入侵检测系统的布署,交换环境,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现,（SPAN/Port Monitor）,四、入侵检测系统的布署 交换环境SwitchIDS Sens,25,四、入侵检测系统的布署,隐蔽模式,Switch,IDS Sensor,Monitored Servers,Console,不设IP,四、入侵检测系统的布署 隐蔽模式SwitchIDS Sens,26,四、入侵检测系统的布署,千兆网络,L4或L7,交换设备,四、入侵检测系统的布署 千兆网络L4或L7,27,五、入侵检测主要功能指标,在性能许可的前提下，尽可能选择功能最适合公司使用的入侵检测系统。在功能选择应该考虑下列一些：,自动检测类型广泛的攻击,支持异常检测与统计检测等检测方法,蠕虫检测功能,提供自定义策略,服务入侵检测功能,检测分析功能,入侵取证和入侵者身份确认功能,升级功能,远程集中管理功能,日志安全存储功能,报警功能,网络流量分析功能,与防火墙联动,五、入侵检测主要功能指标 在性能许可的前提下，尽可能选择,28,五、入侵检测主要功能指标,察入侵检测产品性能主要考虑下列指标：,检测入侵的种类和数量,误报率和漏报率,系统检测效率,抗攻击能力,五、入侵检测主要功能指标察入侵检测产品性能主要考虑下列指标,29,六、入侵检测系统产品的选购,用户在选择入侵检测系统产品时需要注意以下事项：,产品功能,检测入侵能力:,入侵检测系统检测入侵能力方面主要考虑以下几点：自动识别类型广泛的攻击、支持异常检测与统计检测等检测方法、专用的蠕虫检测能力、策略自定义功能、内容检测、专用的针对服务器入侵检测能力等。,响应和取证能力:,入侵检测系统在响应和取证方面主要考虑以下几点：多种报警功能、入侵取证能力、入侵主机身份确认能力、安全设备联动能力、报警日志集中安全存储等。,管理能力:,入侵检测系统应支持集中式的安全管理。入侵检测系统管理员应能够有效管理检测引擎，管理功能主要有：配置检测引擎参数、配置文件下载上传、时间同步、管理口管理、远程重启和关闭检测引擎、模式库升级管理、检测引擎模块升级管理。并提供简单易用的串口管理功能。,六、入侵检测系统产品的选购 用户在,30,六、入侵检测系统产品的选购,用户在选择入侵检测系统产品时需要注意以下事项：,产品功能,报表分析能力:,支持管理、监视、控制和分析功能融合的图形化控制台。入侵检测系统应提供组合搜索分析入侵信息的能力，并能按事件分类生成实用的报表。,六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注,31,六、入侵检测系统产品的选购,用户在选择入侵检测产品时需要注意以下事项：,产品性能,检测入侵种类和规则数量,误报率和漏报率,抗攻击能力,系统检测效率,厂商专业性,随着新的入侵事件和新的蠕虫出现，厂商应及时升级入侵检测产品，因此用户应选择具有研发实力的安全厂商。,六、入侵检测系统产品的选购 用户在,32,六、入侵检测系统产品的选购,用户在选择入侵检测产品时需要注意以下事项：,产品服务,安全产品的技术支持具有紧急的特点，所以，拥有强大的本地技术支持能力也是选择入侵监测系统的重要因素。其中包括紧急响应速度和能力及专业的报警日志分析取证能力等。,六、入侵检测系统产品的选购 用户在,33,Q&A,Q&A,34,解释：,Denning,美国斯坦福国际研究所（SRI）的D.E.Denning于1986年首次提出一种入侵检测模型,back,解释：Denning,35,入侵检测系统的发展,1980年的4月，James P.Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”(Computer Security Threat Monitoring and Sur-veillance)的技术报告，这份报告被公认为是入侵检测的开山之作。1986年，为检测用户对数据库异常访问，W.T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。1987年，乔治敦大学的Dorothy E.Denning提出了一个实时的入侵检测系统抽象模型IDES（Intrusion Detection Exp