入侵检测系统简介
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测系统简介
Intrusion Detection System (IDS)
1. 背景介绍 2. 概念、功能介绍 3. 设计原理及工作过程 4. 分类方法 5. 入侵检测标准化工作 6. 主流产品 7. 展望
为什么需要IDS
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
网络安全工具的特点
防火墙 IDS
Scanner
优点
局限性Biblioteka 可简化网络管理,产品成熟 无法处理网络内部的攻击
实时监控网络安全状态
误警率高,缓慢攻击,新 的攻击模式
完全主动式安全工具,能够了 并不能真正了解网络上即 解网络现有的安全水平,简单 时发生的攻击
可操作,帮助系统管理员和安 全服务人员解决实际问题,
VPN 防病毒
保护公网上的内部通信 针对文件与邮件,产品成熟
可视为防火墙上的一个漏 洞
功能单一
网络入侵的特点
没有地域和时间的限制 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强 入侵手段更加隐蔽和复杂
入侵检测
入侵检测(Intrusion Detection)是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象。
不能克服设计原理方面缺陷
下供应不够及时
CIDF
(The Common Intrusion Detection Framework)
/drafts
CIDF
CIDF早期由美国国防部高级研究计划局赞助研究,现在由 CIDF工作组负责,这是一个开放组织。实际上CIDF已经成 为一个开放的共享的资源
入侵检测系统:进行入侵检测的软件与硬 件的组合 (IDS : Intrusion Detection System)
入侵检测的职责
识别黑客常用入侵与共攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理
IDS的作用
工作过程
信息收集 信息分析 告警与响应
分类
按分析方法: 异常检测模型
发展方向
1. 更有效的集成各种入侵检测数据源,包括从不同的系统和 不同的传感器上采集的数据,提高报警准确率;
2. 在事件诊断和策略来增强异种系统的互操作性和数据一 致性;
3. 研制可靠的测试中结合人工分析,提高判断准确性;
4. 提高对恶意代码的检测能力,包括email攻击,Java, ActiveX等;
入侵很容易
入侵教程随处可见 各种工具唾手可得
关于防火墙 •网络边界的设备,只能 抵挡外部來的入侵行为 •自身存在弱点,也可能 被攻破 •对某些攻击保护很弱 •即使透过防火墙的保护, 合法的使用者仍会非法 地使用系统,甚至提升 自己的权限 •仅能拒绝非法的连接請 求,但是对于入侵者的 攻击行为仍一无所知
误用检测模型
按检测对象:
基于主机的IDS 基于网络的IDS
混合型的IDS
按工作方式: 在线入侵检测IDS
离线入侵检测IDS
入侵检测系统性能关键参数
误报(false positive):如果系统错误地将异 常活动定义为入侵
漏报(false negative):如果系统未能检测出 真正的入侵行为
两类IDS监测软件
5. 采用一定的方法和评估标准;
6. 提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻 击主体的观点出发;
7. 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等 的检测手段;
谢谢聆听!
Thank you for listening
产品
商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro,
网络IDS
侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少
主机IDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
IDS优点与缺点
使现有安防体系更完善 更好掌握系统情况 追踪攻击者攻击线路 界面友好 抓住肇事者
用户必须参与对攻击调查与组 织攻击行为
不能克服网络协议缺陷
面临的问题
(1) 随着能力的提高,入侵者会研制更多的 攻击工具,以及使用更为复杂精致的攻击手 段,对更大范围的目标类型实施攻击; (2) 入侵者采用加密手段传输攻击信息; (3) 日益增长的网络流量导致检测分析难度 加大; (4) 缺乏统一的入侵检测术语和概念框架;
面临的问题
(5) 不适当的自动响应机制存在着巨大的安全风 险; (6) 存在对入侵检测系统自身的攻击; (7) 过高的错报率和误报率,导致很难确定真正 的入侵行为; (8) 采用交换方法限制了网络数据的可见性; (9) 高速网络环境导致很难对所有数据进行高效 实时分析
CIDF是一套规范,它定义了IDS表达检测信息的标准语言以 及IDS组件之间的通信协议
符合CIDF规范的IDS可以共享检测信息,相互通信,协同工 作,还可以与其它系统配合实施统一的配置响应和恢复策 略
CIDF的主要作用在于集成各种IDS,使之协同工作,实现各 IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础
Intrusion Detection System (IDS)
1. 背景介绍 2. 概念、功能介绍 3. 设计原理及工作过程 4. 分类方法 5. 入侵检测标准化工作 6. 主流产品 7. 展望
为什么需要IDS
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
网络安全工具的特点
防火墙 IDS
Scanner
优点
局限性Biblioteka 可简化网络管理,产品成熟 无法处理网络内部的攻击
实时监控网络安全状态
误警率高,缓慢攻击,新 的攻击模式
完全主动式安全工具,能够了 并不能真正了解网络上即 解网络现有的安全水平,简单 时发生的攻击
可操作,帮助系统管理员和安 全服务人员解决实际问题,
VPN 防病毒
保护公网上的内部通信 针对文件与邮件,产品成熟
可视为防火墙上的一个漏 洞
功能单一
网络入侵的特点
没有地域和时间的限制 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强 入侵手段更加隐蔽和复杂
入侵检测
入侵检测(Intrusion Detection)是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象。
不能克服设计原理方面缺陷
下供应不够及时
CIDF
(The Common Intrusion Detection Framework)
/drafts
CIDF
CIDF早期由美国国防部高级研究计划局赞助研究,现在由 CIDF工作组负责,这是一个开放组织。实际上CIDF已经成 为一个开放的共享的资源
入侵检测系统:进行入侵检测的软件与硬 件的组合 (IDS : Intrusion Detection System)
入侵检测的职责
识别黑客常用入侵与共攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理
IDS的作用
工作过程
信息收集 信息分析 告警与响应
分类
按分析方法: 异常检测模型
发展方向
1. 更有效的集成各种入侵检测数据源,包括从不同的系统和 不同的传感器上采集的数据,提高报警准确率;
2. 在事件诊断和策略来增强异种系统的互操作性和数据一 致性;
3. 研制可靠的测试中结合人工分析,提高判断准确性;
4. 提高对恶意代码的检测能力,包括email攻击,Java, ActiveX等;
入侵很容易
入侵教程随处可见 各种工具唾手可得
关于防火墙 •网络边界的设备,只能 抵挡外部來的入侵行为 •自身存在弱点,也可能 被攻破 •对某些攻击保护很弱 •即使透过防火墙的保护, 合法的使用者仍会非法 地使用系统,甚至提升 自己的权限 •仅能拒绝非法的连接請 求,但是对于入侵者的 攻击行为仍一无所知
误用检测模型
按检测对象:
基于主机的IDS 基于网络的IDS
混合型的IDS
按工作方式: 在线入侵检测IDS
离线入侵检测IDS
入侵检测系统性能关键参数
误报(false positive):如果系统错误地将异 常活动定义为入侵
漏报(false negative):如果系统未能检测出 真正的入侵行为
两类IDS监测软件
5. 采用一定的方法和评估标准;
6. 提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻 击主体的观点出发;
7. 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等 的检测手段;
谢谢聆听!
Thank you for listening
产品
商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro,
网络IDS
侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少
主机IDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
IDS优点与缺点
使现有安防体系更完善 更好掌握系统情况 追踪攻击者攻击线路 界面友好 抓住肇事者
用户必须参与对攻击调查与组 织攻击行为
不能克服网络协议缺陷
面临的问题
(1) 随着能力的提高,入侵者会研制更多的 攻击工具,以及使用更为复杂精致的攻击手 段,对更大范围的目标类型实施攻击; (2) 入侵者采用加密手段传输攻击信息; (3) 日益增长的网络流量导致检测分析难度 加大; (4) 缺乏统一的入侵检测术语和概念框架;
面临的问题
(5) 不适当的自动响应机制存在着巨大的安全风 险; (6) 存在对入侵检测系统自身的攻击; (7) 过高的错报率和误报率,导致很难确定真正 的入侵行为; (8) 采用交换方法限制了网络数据的可见性; (9) 高速网络环境导致很难对所有数据进行高效 实时分析
CIDF是一套规范,它定义了IDS表达检测信息的标准语言以 及IDS组件之间的通信协议
符合CIDF规范的IDS可以共享检测信息,相互通信,协同工 作,还可以与其它系统配合实施统一的配置响应和恢复策 略
CIDF的主要作用在于集成各种IDS,使之协同工作,实现各 IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础