启明星辰入侵检测培训PPT(讲稿)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
产品组件
网络探测引擎 管理控制中心 综合信息显示 日志分析中心
特点
天阗网络入侵检测系统独创性的将检测、管理配臵、 报警显示以及日志分析四部分的功能可以实现分开部 署,满足多人同时监测和分权限管理。
天阗网络IDS产品组成
控制中心
表现方式:软件 功能:接收事件 策略下发
事件库升级
探测引擎
常用功能
查看事件
策略基本操作 事件定义 日志分析及报表输出 数据库维护 更新升级
查看事件
查看报警事件 双击出现事件 详细信息
显示设臵
添加窗口 树形窗口
策略基本操作
策略衍生 策略集操作 策略向导 策略导入导出
策略基本操作
编辑策略
过滤条件
IP过滤和MAC过滤 应用到事件 保存下发策略
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
入侵检测系统IDS体系结构
事件产生器 检测引擎(事件分析引擎) 事件数据库 响应组件
事件产生器
负责原始数据的采集,并将获得的原始 数据转化为可以向其它系统提供的事件。 数据来源: 对于NIDS系统,主要在网络不同的关键 点处,收集的来自网络中的数据包。 对于HIDS系统,主要来自审计日志、系 统日志、主机网络端口等处获得的信息。
策略基本操作
策略下发
事件定义-特征事件定义
进入管理控制台,点击“策略任务”- “入侵检测”-“事件定义”,在新窗 口里添加新事件:
2012-5-14
事件定义-二次事件定义
进入管理控制台,点击“策略任务”- “入侵检测”-“事件定义”,在新窗 口里添加新事件:
2012-5-14
天阗6.0日志查看与分析
第二部分
天阗网络IDS基本操作及维护
天阗6.0系类产品
天阗6.0网络IDS的介绍 天阗6.0入侵检测系统的基本操作 天阗6.0入侵检测系统日常维护与操作建 议
天阗入侵检测与管理系统产品组成
现行产品版本:V 6.0 主要组成部分: 主机入侵检测系统(主机型) 网络入侵检测系统(网络型) 入侵管理组件(管理型)
2012-5-14
事件分析示例2
TELNET_口令弱 结论和建议 我们定义的合理的口令强度应为:长度不低于 20位,且同时包含大小写字母、数字、特殊字 符。 建议通知各个上报该事件的分支机构,针对服 务器,加强口令的长度或改用不易破解的字符.
2012-5-14
事件分析示例3
UDP_蠕虫_熊猫烧香_解析恶意网站域名 通用描述 该事件表明源IP地址感染了熊猫烧香蠕虫病毒,并且该蠕虫正在 向DNS服务器提交恶意网站的域名解析请求。 处理建议 检查源IP地址,如果源IP地址非DNS服务器,使用最新的杀毒软 件或专杀软件进行病毒的查杀,并设臵强壮的管理员密码。 。 报表分析 由于源IP地址为DNS服务器,并且运行Linux系统,不可能感染该 病毒,可能是由于源IP向上层DNS服务器转发了提交给自己的恶 意网站域名解析请求,并不表明该源DNS服务器感染了熊猫烧香 蠕虫病毒。
基本配臵-2
进入管理控制中心
序列号授权 以新添加管理员帐号登录
基本配臵-3
添加模块
选择添加组件的类型 输入组件的IP地址
基本配臵-4
配臵通讯参数
管理控制中心 综合显示中心
配臵真实IP,避免使用127.0.0.1
基本配臵-4
基本配臵-5
启动连接组件
组件管理->启动连接 查看组件属性
检查综合显示中心已经启动
5.
6. 7.
配臵通讯参数:显示中心的连接设臵;(显示中心)
导入引擎授权文件; 升级天阗事件库;
8.
选择策略下发至探测引擎.
基本配臵-1
添加管理员
天阗用户有三类:用户管理员、审计员、管理员 默认用户有:用户管理员admin、审计员audit 默认口令:venus60
添加管理员时注意选择“可以登录”
表现方式:硬件 功能:抓包 分析数据 上报事件
综合显示中心
表现方式:软件 功能:实时显示事件
日志分析中心
表现方式:软件 功能:日志记录与报表
网络IDS的基本结构
网络IDS的探测引擎
引擎的主要功能为: 原始数据读取 数据分析 产生事件 策略匹配 事件处理 通讯等功能
网络IDS的控制中心
控制中心的主要功能为: 通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等
异常检测
前提:入侵是异常行为的子集 用户轮廓(Profile):通常定义为各种 行为参数和阈值的集合。用于描述正常 行为范围 过程
监控 量化 比对
修改 判定
特点:误报率高、漏报率低
异常检测
异常检测的效率和准确性取决于用户轮 廓的完备性和监控的频率
不需要对任何入侵行为进行定义,能有 效的检测未知的入侵行为
网络引擎产品型号
产品型号 多级管理 向下分级 网络环境 NS200 不支持 无 百兆 NS500 支持 支持 百兆 NS2200 不支持 无 千兆 NS2800 支持 支持 千兆
检测网路 检测能力
一路 100Mbps
两路 200Mbps
一路 1000Mbps
两路 2000Mbps
天阗网络入侵检测系统组成
入侵检测系统两个重要参数
误报:检测系统在检测时,将系统的正 常行为判为入侵行为的错误,被称为误 报。检测系统在检测过程中,出现误报 的概率称为系统的误报率 漏报:检测系统在检测时,没有能够正 确的识别某些入侵行为,因而没有报警 现象称为漏报。检测系统在检测过程中 出现漏报的概率称为系统漏报率
误用检测
入侵检测技术的起源(2)
1984-1986年,乔治敦大学的Dorothy denning 和SRI/CSL的peter neumann 研究出了一个实 时入侵检测系统模型—IDES(入侵检测专家 系统) 1990年,加州大学戴维斯分校的L.T.heberlein 等人开发的NSM(network security Monitor) 该系统第一次直接将网络流作为审计数据来源。 因而可以在不将审计数据转换成统一格式的情 况下监控异种主机 入侵检测系统发展史的新的一页,两大阵营的 正式形成:基于网络的IDS和基于主机的IDS
系统能针对用户行为的改变进行自我调 整和优化,但随着检测模型的逐步精确, 异常检测会消耗系统更多的资源
事件数据库
用于存放各种中间和最终数据,如检测 规则和检测结果。
从事件产生器或事件分析器接收数据, 一般会将数据进行长时间的保存。
响应组件
响应组件用于对检测引擎分析的结果作 出反应。
可以是切断连接、封锁用户帐号、改变 文件属性等强烈反应,也可以是简单的 报警(如控制台显示、电子邮件通知、 手机短信等)
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
IDS的作用
在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否 有效的系统
检测 检测
后门 监控
检测
Card Key
响应
入侵检测系统的作用
监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪
前提:所有的入侵行为都有可被检测到 的特征
攻击特征库:当监测的用户或系统行为 与库中的记录相匹配时,系统就认为这 种行为是入侵 过程
监控 特征提取 匹配
判定
特点:误报率低、漏报率高
误用检测
误用检测的效率和准确性取决于攻击特 征库完整性和对攻击行为特征提取的准 确性 采用模式匹配,能明显降低误报率,但 是漏报率较高。攻击特征的细微变化, 可能导致系统漏报。
基本配臵-6
引擎授权
基本配臵-7
6. 升级事件库(每周5下午更新事件库)
自动升级(需要能连接上互联网) 手动升级
思考:为什么要做事件库升级?
基本配臵-8
下发策略
系统策略 用户自定义策略
天阗6.0系类产品
天阗6.0网络IDS的介绍 天阗6.0入侵检测系统的基本操作 天阗6.0入侵检测系统日常维护与操作建 议
网络IDS的系统结构
网络IDS的通讯
身份认证:是要保证一个引擎,或者子控制中心只能由固定的上级 进行控制,任何非法的控制行为将予以阻止 数据加密:完成身份认证后,利用相对简单的加密算法进行大量的 数据交换 ,保证数据的保密性
天阗通常部署方式
Internet
天阗入侵检 测系统
外网接入的端 口镜像到IDS的 接入端口,对其 进行实时的入侵 检测
天阗探测引擎
天阗探测引擎
对内网的服 务器或主机 进行入侵检测
准备事项
明确引擎监控范围 分配相应IP地址
探测引擎:管理控制端口 管理组件:管理控制中心
交换机配臵
结合交换机本身对镜像的支持能力 保证检测重点服务器 尽量不做全端口镜像
天阗6.0快速配臵
1. 2. 3. 4. 进入用户管理与审计界面,用用户管理员帐号,添加一个管理 员帐号; 用刚才添加的管理员帐号进入控制中心,序列号授权; 在控制中心中添加探测引擎,根据需求在控制中心中添加显示 中心和子控,并进行设臵; 启动探测引擎、各显示中心和子控制中心;连接成功;
入侵检测系统IDS
启明星辰认证培训部:沈尚方 shen_shangfang@venustech.com.cn
第一部分
入侵检测系统概述
入侵检测系统概述
什么是入侵检测系统 入侵检Biblioteka Baidu的作用 入侵检测的起源 入侵检测系统的体系结构
什么是入侵检测系统
入侵检测(intrusion detection) 入侵检测是对即将发生、正在发生的或已经发 生的入侵行为的一种识别过程,是一种动态的 安全防护手段,它能主动寻找入侵信号,给网 络系统提供对外部攻击、内部攻击和误操作的 安全保护,是一种增强系统安全的有效方法。 入侵检测系统(IDS-intrusion detection system) 用于辅助进行入侵检测或者独立进行入侵检测 的自动化工具。一般是用于检测的软件和硬件 的组合。
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
入侵检测技术的起源(1)
审计技术:产生、记录并检查按照时间顺序排 列的系统事件记录的过程 1980年,James anderson的《计算机安全监控 与监视》computer security threat monitoring and surveillance 第一次详细阐述了入侵检测的概念 将计算机系统威胁分为:外部渗透、内部渗透 和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 被认为是入侵检测的开山之作
为什么要进行日志分析 如何进行日志分析
2012-5-14
为什么要进行日志分析
不是每个事件都是入侵事件 不是每个事件都会产生攻击效果 了解网络安全状况 方便管理网络 使领导对报表一目了然
2012-5-14
日志分析方法
1. 总体分析
管理统计分析报表查看统计信息 初步确定敏感事件或敏感IP地址
2. 具体分析
入侵检测技术的起源(3)
1988年之后,美国开展对分布式入侵检 测系统(DIDS)的研究,将基于主机和 基于网络的检测方法集成到一起。DIDS 是分布式入侵检测系统历史上的一个里 程碑式的产物。 20世纪90年代到现在,入侵检测系统的 研发呈现百家争鸣的局面,并在智能化 和分布式两个方向取得了长足的进展
利用过滤条件生成多角度、多层面详细报表 ,进一步确认敏感信息 具体分析事件确认攻击是否发生、产生危害 和源地址
2012-5-14
日志分析方法
3. 总结现阶段安全状况
分析事件的分布,找出重点威胁所在 分析源地址的分布,找出重点威胁来源
4. 建议改进方案
调整安全策略 调整网络部署 增加安全设备 加强全员安全教育 完善安全管理制度
2012-5-14
事件分析示例1
SCAN_UDP端口扫描 事件 事件原因 通过查询日志发现,该事件发生的源地址只有一个, 且发生的时间相当有规律性,均为定期周末的某一时 刻,后确认该事件发生时,正好是漏扫的定期扫描时 段,且该源地址恰为漏洞扫描设备地址 结论 漏洞扫描设备触发该事件,属于正常连接触发该事件 。 建议 建议对于该事件过滤掉源ip地址。
检测引擎(事件分析引擎)
对事件产生器所提供的事件,进行分析, 通过与预定义的检测规则进行比对,判 断是否为入侵行为。并将分析结果提供 给其他系统,转变为告警信息。
检测引擎(事件分析引擎)
事件分析方法:目前IDS系统主要有两种通用的分析 方法,每种分析方法也各有利弊。 1、模式匹配(误用检测模型):将收集到的事件与已知 的网络入侵行为数据库和系统误用模式数据库进行对 比,从而发现违背安全规律的行为。 2、统计分析(异常检测模型):首先给系统对象(用 户、文件、目录和设备)等创建一个统计描述,统计 一些正常使用时的一些测量属性(如访问次数、操作 失败次数)。测量属性的平均值和偏差将被用来与网 络、系统的行为进行对比,任何观察值在正常范围值 之外,就认为入侵发生。
网络探测引擎 管理控制中心 综合信息显示 日志分析中心
特点
天阗网络入侵检测系统独创性的将检测、管理配臵、 报警显示以及日志分析四部分的功能可以实现分开部 署,满足多人同时监测和分权限管理。
天阗网络IDS产品组成
控制中心
表现方式:软件 功能:接收事件 策略下发
事件库升级
探测引擎
常用功能
查看事件
策略基本操作 事件定义 日志分析及报表输出 数据库维护 更新升级
查看事件
查看报警事件 双击出现事件 详细信息
显示设臵
添加窗口 树形窗口
策略基本操作
策略衍生 策略集操作 策略向导 策略导入导出
策略基本操作
编辑策略
过滤条件
IP过滤和MAC过滤 应用到事件 保存下发策略
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
入侵检测系统IDS体系结构
事件产生器 检测引擎(事件分析引擎) 事件数据库 响应组件
事件产生器
负责原始数据的采集,并将获得的原始 数据转化为可以向其它系统提供的事件。 数据来源: 对于NIDS系统,主要在网络不同的关键 点处,收集的来自网络中的数据包。 对于HIDS系统,主要来自审计日志、系 统日志、主机网络端口等处获得的信息。
策略基本操作
策略下发
事件定义-特征事件定义
进入管理控制台,点击“策略任务”- “入侵检测”-“事件定义”,在新窗 口里添加新事件:
2012-5-14
事件定义-二次事件定义
进入管理控制台,点击“策略任务”- “入侵检测”-“事件定义”,在新窗 口里添加新事件:
2012-5-14
天阗6.0日志查看与分析
第二部分
天阗网络IDS基本操作及维护
天阗6.0系类产品
天阗6.0网络IDS的介绍 天阗6.0入侵检测系统的基本操作 天阗6.0入侵检测系统日常维护与操作建 议
天阗入侵检测与管理系统产品组成
现行产品版本:V 6.0 主要组成部分: 主机入侵检测系统(主机型) 网络入侵检测系统(网络型) 入侵管理组件(管理型)
2012-5-14
事件分析示例2
TELNET_口令弱 结论和建议 我们定义的合理的口令强度应为:长度不低于 20位,且同时包含大小写字母、数字、特殊字 符。 建议通知各个上报该事件的分支机构,针对服 务器,加强口令的长度或改用不易破解的字符.
2012-5-14
事件分析示例3
UDP_蠕虫_熊猫烧香_解析恶意网站域名 通用描述 该事件表明源IP地址感染了熊猫烧香蠕虫病毒,并且该蠕虫正在 向DNS服务器提交恶意网站的域名解析请求。 处理建议 检查源IP地址,如果源IP地址非DNS服务器,使用最新的杀毒软 件或专杀软件进行病毒的查杀,并设臵强壮的管理员密码。 。 报表分析 由于源IP地址为DNS服务器,并且运行Linux系统,不可能感染该 病毒,可能是由于源IP向上层DNS服务器转发了提交给自己的恶 意网站域名解析请求,并不表明该源DNS服务器感染了熊猫烧香 蠕虫病毒。
基本配臵-2
进入管理控制中心
序列号授权 以新添加管理员帐号登录
基本配臵-3
添加模块
选择添加组件的类型 输入组件的IP地址
基本配臵-4
配臵通讯参数
管理控制中心 综合显示中心
配臵真实IP,避免使用127.0.0.1
基本配臵-4
基本配臵-5
启动连接组件
组件管理->启动连接 查看组件属性
检查综合显示中心已经启动
5.
6. 7.
配臵通讯参数:显示中心的连接设臵;(显示中心)
导入引擎授权文件; 升级天阗事件库;
8.
选择策略下发至探测引擎.
基本配臵-1
添加管理员
天阗用户有三类:用户管理员、审计员、管理员 默认用户有:用户管理员admin、审计员audit 默认口令:venus60
添加管理员时注意选择“可以登录”
表现方式:硬件 功能:抓包 分析数据 上报事件
综合显示中心
表现方式:软件 功能:实时显示事件
日志分析中心
表现方式:软件 功能:日志记录与报表
网络IDS的基本结构
网络IDS的探测引擎
引擎的主要功能为: 原始数据读取 数据分析 产生事件 策略匹配 事件处理 通讯等功能
网络IDS的控制中心
控制中心的主要功能为: 通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等
异常检测
前提:入侵是异常行为的子集 用户轮廓(Profile):通常定义为各种 行为参数和阈值的集合。用于描述正常 行为范围 过程
监控 量化 比对
修改 判定
特点:误报率高、漏报率低
异常检测
异常检测的效率和准确性取决于用户轮 廓的完备性和监控的频率
不需要对任何入侵行为进行定义,能有 效的检测未知的入侵行为
网络引擎产品型号
产品型号 多级管理 向下分级 网络环境 NS200 不支持 无 百兆 NS500 支持 支持 百兆 NS2200 不支持 无 千兆 NS2800 支持 支持 千兆
检测网路 检测能力
一路 100Mbps
两路 200Mbps
一路 1000Mbps
两路 2000Mbps
天阗网络入侵检测系统组成
入侵检测系统两个重要参数
误报:检测系统在检测时,将系统的正 常行为判为入侵行为的错误,被称为误 报。检测系统在检测过程中,出现误报 的概率称为系统的误报率 漏报:检测系统在检测时,没有能够正 确的识别某些入侵行为,因而没有报警 现象称为漏报。检测系统在检测过程中 出现漏报的概率称为系统漏报率
误用检测
入侵检测技术的起源(2)
1984-1986年,乔治敦大学的Dorothy denning 和SRI/CSL的peter neumann 研究出了一个实 时入侵检测系统模型—IDES(入侵检测专家 系统) 1990年,加州大学戴维斯分校的L.T.heberlein 等人开发的NSM(network security Monitor) 该系统第一次直接将网络流作为审计数据来源。 因而可以在不将审计数据转换成统一格式的情 况下监控异种主机 入侵检测系统发展史的新的一页,两大阵营的 正式形成:基于网络的IDS和基于主机的IDS
系统能针对用户行为的改变进行自我调 整和优化,但随着检测模型的逐步精确, 异常检测会消耗系统更多的资源
事件数据库
用于存放各种中间和最终数据,如检测 规则和检测结果。
从事件产生器或事件分析器接收数据, 一般会将数据进行长时间的保存。
响应组件
响应组件用于对检测引擎分析的结果作 出反应。
可以是切断连接、封锁用户帐号、改变 文件属性等强烈反应,也可以是简单的 报警(如控制台显示、电子邮件通知、 手机短信等)
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
IDS的作用
在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否 有效的系统
检测 检测
后门 监控
检测
Card Key
响应
入侵检测系统的作用
监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪
前提:所有的入侵行为都有可被检测到 的特征
攻击特征库:当监测的用户或系统行为 与库中的记录相匹配时,系统就认为这 种行为是入侵 过程
监控 特征提取 匹配
判定
特点:误报率低、漏报率高
误用检测
误用检测的效率和准确性取决于攻击特 征库完整性和对攻击行为特征提取的准 确性 采用模式匹配,能明显降低误报率,但 是漏报率较高。攻击特征的细微变化, 可能导致系统漏报。
基本配臵-6
引擎授权
基本配臵-7
6. 升级事件库(每周5下午更新事件库)
自动升级(需要能连接上互联网) 手动升级
思考:为什么要做事件库升级?
基本配臵-8
下发策略
系统策略 用户自定义策略
天阗6.0系类产品
天阗6.0网络IDS的介绍 天阗6.0入侵检测系统的基本操作 天阗6.0入侵检测系统日常维护与操作建 议
网络IDS的系统结构
网络IDS的通讯
身份认证:是要保证一个引擎,或者子控制中心只能由固定的上级 进行控制,任何非法的控制行为将予以阻止 数据加密:完成身份认证后,利用相对简单的加密算法进行大量的 数据交换 ,保证数据的保密性
天阗通常部署方式
Internet
天阗入侵检 测系统
外网接入的端 口镜像到IDS的 接入端口,对其 进行实时的入侵 检测
天阗探测引擎
天阗探测引擎
对内网的服 务器或主机 进行入侵检测
准备事项
明确引擎监控范围 分配相应IP地址
探测引擎:管理控制端口 管理组件:管理控制中心
交换机配臵
结合交换机本身对镜像的支持能力 保证检测重点服务器 尽量不做全端口镜像
天阗6.0快速配臵
1. 2. 3. 4. 进入用户管理与审计界面,用用户管理员帐号,添加一个管理 员帐号; 用刚才添加的管理员帐号进入控制中心,序列号授权; 在控制中心中添加探测引擎,根据需求在控制中心中添加显示 中心和子控,并进行设臵; 启动探测引擎、各显示中心和子控制中心;连接成功;
入侵检测系统IDS
启明星辰认证培训部:沈尚方 shen_shangfang@venustech.com.cn
第一部分
入侵检测系统概述
入侵检测系统概述
什么是入侵检测系统 入侵检Biblioteka Baidu的作用 入侵检测的起源 入侵检测系统的体系结构
什么是入侵检测系统
入侵检测(intrusion detection) 入侵检测是对即将发生、正在发生的或已经发 生的入侵行为的一种识别过程,是一种动态的 安全防护手段,它能主动寻找入侵信号,给网 络系统提供对外部攻击、内部攻击和误操作的 安全保护,是一种增强系统安全的有效方法。 入侵检测系统(IDS-intrusion detection system) 用于辅助进行入侵检测或者独立进行入侵检测 的自动化工具。一般是用于检测的软件和硬件 的组合。
入侵检测系统概述
什么是入侵检测系统 入侵检测的作用 入侵检测的起源 入侵检测系统的体系结构
入侵检测技术的起源(1)
审计技术:产生、记录并检查按照时间顺序排 列的系统事件记录的过程 1980年,James anderson的《计算机安全监控 与监视》computer security threat monitoring and surveillance 第一次详细阐述了入侵检测的概念 将计算机系统威胁分为:外部渗透、内部渗透 和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 被认为是入侵检测的开山之作
为什么要进行日志分析 如何进行日志分析
2012-5-14
为什么要进行日志分析
不是每个事件都是入侵事件 不是每个事件都会产生攻击效果 了解网络安全状况 方便管理网络 使领导对报表一目了然
2012-5-14
日志分析方法
1. 总体分析
管理统计分析报表查看统计信息 初步确定敏感事件或敏感IP地址
2. 具体分析
入侵检测技术的起源(3)
1988年之后,美国开展对分布式入侵检 测系统(DIDS)的研究,将基于主机和 基于网络的检测方法集成到一起。DIDS 是分布式入侵检测系统历史上的一个里 程碑式的产物。 20世纪90年代到现在,入侵检测系统的 研发呈现百家争鸣的局面,并在智能化 和分布式两个方向取得了长足的进展
利用过滤条件生成多角度、多层面详细报表 ,进一步确认敏感信息 具体分析事件确认攻击是否发生、产生危害 和源地址
2012-5-14
日志分析方法
3. 总结现阶段安全状况
分析事件的分布,找出重点威胁所在 分析源地址的分布,找出重点威胁来源
4. 建议改进方案
调整安全策略 调整网络部署 增加安全设备 加强全员安全教育 完善安全管理制度
2012-5-14
事件分析示例1
SCAN_UDP端口扫描 事件 事件原因 通过查询日志发现,该事件发生的源地址只有一个, 且发生的时间相当有规律性,均为定期周末的某一时 刻,后确认该事件发生时,正好是漏扫的定期扫描时 段,且该源地址恰为漏洞扫描设备地址 结论 漏洞扫描设备触发该事件,属于正常连接触发该事件 。 建议 建议对于该事件过滤掉源ip地址。
检测引擎(事件分析引擎)
对事件产生器所提供的事件,进行分析, 通过与预定义的检测规则进行比对,判 断是否为入侵行为。并将分析结果提供 给其他系统,转变为告警信息。
检测引擎(事件分析引擎)
事件分析方法:目前IDS系统主要有两种通用的分析 方法,每种分析方法也各有利弊。 1、模式匹配(误用检测模型):将收集到的事件与已知 的网络入侵行为数据库和系统误用模式数据库进行对 比,从而发现违背安全规律的行为。 2、统计分析(异常检测模型):首先给系统对象(用 户、文件、目录和设备)等创建一个统计描述,统计 一些正常使用时的一些测量属性(如访问次数、操作 失败次数)。测量属性的平均值和偏差将被用来与网 络、系统的行为进行对比,任何观察值在正常范围值 之外,就认为入侵发生。