入侵检测系统概述及主要产品分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的发生
不能克服网络协议方面 的缺陷
不能克服设计原理方面 的缺陷
响应不够及时,签名数据库 更新得不够快。经常是事后
才检测到,适时性不好。
IDS的发展趋势
1、大规模分布式入侵检测,传统的入侵检 测技术一般只局限于单一的主机或网络框架, 显然不能适应大规模网络的监测,不同的入 侵检测系统之间也不能协同工作。因此,必
三.数据完整性分析法
• 数据完整性分析法主要用来查证文件或对象是否被修改过。 • 理论基础是密码学。
入侵检测系统的主要类型
一.应用软件入侵检测
在应用软件收集信息。 控制性好,具有很高的可靠性。 需要支持的应用软件数量多。
二.基于主机的入侵检测
通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统 是否被侵入或者被攻击。如果发现与攻击模式匹配,IDS系统通过向管理 员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步 的攻击。反应的时间为与定期检测的时间间隔。
入侵检测系统概述及主要产品分析
(IDS)
C 目录 ONTENTS
1 入侵检测系统的概念 2 入侵检测系统的主要技术 3 入侵检测系统的类型 4 入侵检测系统的主要产品 5 IDS优、缺点及发展趋势
侵检测系统IDS简介
• IDS是英文“Intrusion Detection Systems”的缩 写,中文意思是“入侵检测系统”。 是指监视( 或者在有可能的情况下阻止)入侵或者试图控制 你的系统或者网络资源行为的系统。入侵检测系 统能有效地提升黑客进入网络系统的门槛。入侵 检测系统能够通过向管理员发出入侵或者入侵企 图来加强当前的存取控制系统,例如防火墙;识 别防火墙通过不能识别的攻击,如来自企业内部 的攻击;在发现入侵企图后提供必要而信息。
二.统计分析法
• 以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正 常的轨道,此操作就值得怀疑。
• 主要方法: 首先根据被检测系统的正常行为定义出一个规律性的东 西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
• 统计分析法的理论基础是统计学,此方法中“写照”的确至关重要。
入侵检测系统的主要技术
一.签名分析法
• 主要用来检测有无对系统已知弱点进行攻击的行为。这类攻击可以通 过监视有无针对特定对象的某种行为而被检测到。
• 主要方法:从攻击模式中归纳出其签名,编写到IDS系统代码里,再 由IDS系统对检测过程中收集到的信息进行签名分析。
• 签名分析实践上是一个模板匹配操作,匹配的一方是系统设置情况和 用户操作动作,一方是已知攻击模式的签名数据库。
须发展大规模的分布式入侵检测技术。
2、宽带高速网络的实时入侵检测技术,大 量高速网络的不断涌现,各种宽带接入手段 层出不穷,如何实现高速网络下的实时入侵
检测成为一个现实的问题
3、入侵检测的数据融合技术,目前的IDS还 存在着很多缺陷。首先,目前的技术还不能对 付训练有素的黑客的复杂的攻击。其次,系统 的虚警率太高。最后,系统对大量的数据处理, 非但无助于解决问题,还降低了处理能力。数
据融合技术是解决这一系列问题的好方法。
四.集成入侵检测
结合了应用软件入侵检测、基于主机的入侵检测、基于网络的入侵 检测三种技术的入侵检测方法。并试图弥补各自的不足,稳定性好,节 约成本,但把不同供应商的组建集成在一起比较困难。
入侵检测类型的主要产品
1、Cisco公司的NetRanger
➢ 1、NetRanger的控制器程序可以综合多站点的信息并监视散布在整 个企业网上的攻击
的任何变更
1
3
具有管理方便、配置
简单的特性,从而使
非专业人员非常容易
的管理网络安全
给网络安全策略的 定制提供指南
2
4
规模根据网络威胁、 系统构造 和安全 需求的改变而改变。
入侵检测系统的特点
• 不需要人工干预即可不间断地运行。 • 有容错功能。即使系统发生了崩溃,也不会丢失数据。 • 不需要占用大量的系统资源。 • 能够发现异于正常行为的操作。 • 能够适应系统行为的长期变化。 • 保持领先,能及时升级。
三.基于网络的入侵检测
基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混 杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前, 部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网 络入侵行为。一旦攻击被检测到相应模块将按照配置对攻击做出反应。 这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等 。
2、Network Associates公司的CyberCo
• 局域网管理员正是NetWork Associates的主要客户群。 • CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相
比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。
3、天融信网络卫士入侵检测 TopSentry
防火墙为网络提供了第一道防线,入侵检测被认为 是防火墙之后的第二道闸门,在不影响网络性能的 情况下对网络进行检测,从而提供对内部攻击、外 部攻击和误操作的实时保护。由于入侵检测系统是 防火墙后的又一道防线,从而可以极大地减少网络 免受各种攻击的伤害。
入侵检测系统的作用
使系统管理员时
刻了解网络系统
➢ 2、NetRanger在全球广域网上运行很成功。例如,它有一个路径备 份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径 上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方 。
➢ 3、NetRanger的另一个强项是其在检测问题时不仅观察单个包的内 容,而且还看上下文,即从多个包中得到线索。
典型应用:中小企业的网络部署 ,topsentry的监听口可通过端 口镜像来同时监控内网和DMZ区的入侵
IDS优点来自百度文库
界面友好,便于建立安防体系
能够使现有的安防体系更完善
能够更好的掌握系统的情况 能够追踪攻击者的攻击路线
能够抓住肇事者
IDS缺点
不能够在没有用户参与 的情况下对攻击行为展
开调查
不能够在没有用户参与 的情况下阻止攻击行为
不能克服网络协议方面 的缺陷
不能克服设计原理方面 的缺陷
响应不够及时,签名数据库 更新得不够快。经常是事后
才检测到,适时性不好。
IDS的发展趋势
1、大规模分布式入侵检测,传统的入侵检 测技术一般只局限于单一的主机或网络框架, 显然不能适应大规模网络的监测,不同的入 侵检测系统之间也不能协同工作。因此,必
三.数据完整性分析法
• 数据完整性分析法主要用来查证文件或对象是否被修改过。 • 理论基础是密码学。
入侵检测系统的主要类型
一.应用软件入侵检测
在应用软件收集信息。 控制性好,具有很高的可靠性。 需要支持的应用软件数量多。
二.基于主机的入侵检测
通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统 是否被侵入或者被攻击。如果发现与攻击模式匹配,IDS系统通过向管理 员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步 的攻击。反应的时间为与定期检测的时间间隔。
入侵检测系统概述及主要产品分析
(IDS)
C 目录 ONTENTS
1 入侵检测系统的概念 2 入侵检测系统的主要技术 3 入侵检测系统的类型 4 入侵检测系统的主要产品 5 IDS优、缺点及发展趋势
侵检测系统IDS简介
• IDS是英文“Intrusion Detection Systems”的缩 写,中文意思是“入侵检测系统”。 是指监视( 或者在有可能的情况下阻止)入侵或者试图控制 你的系统或者网络资源行为的系统。入侵检测系 统能有效地提升黑客进入网络系统的门槛。入侵 检测系统能够通过向管理员发出入侵或者入侵企 图来加强当前的存取控制系统,例如防火墙;识 别防火墙通过不能识别的攻击,如来自企业内部 的攻击;在发现入侵企图后提供必要而信息。
二.统计分析法
• 以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正 常的轨道,此操作就值得怀疑。
• 主要方法: 首先根据被检测系统的正常行为定义出一个规律性的东 西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
• 统计分析法的理论基础是统计学,此方法中“写照”的确至关重要。
入侵检测系统的主要技术
一.签名分析法
• 主要用来检测有无对系统已知弱点进行攻击的行为。这类攻击可以通 过监视有无针对特定对象的某种行为而被检测到。
• 主要方法:从攻击模式中归纳出其签名,编写到IDS系统代码里,再 由IDS系统对检测过程中收集到的信息进行签名分析。
• 签名分析实践上是一个模板匹配操作,匹配的一方是系统设置情况和 用户操作动作,一方是已知攻击模式的签名数据库。
须发展大规模的分布式入侵检测技术。
2、宽带高速网络的实时入侵检测技术,大 量高速网络的不断涌现,各种宽带接入手段 层出不穷,如何实现高速网络下的实时入侵
检测成为一个现实的问题
3、入侵检测的数据融合技术,目前的IDS还 存在着很多缺陷。首先,目前的技术还不能对 付训练有素的黑客的复杂的攻击。其次,系统 的虚警率太高。最后,系统对大量的数据处理, 非但无助于解决问题,还降低了处理能力。数
据融合技术是解决这一系列问题的好方法。
四.集成入侵检测
结合了应用软件入侵检测、基于主机的入侵检测、基于网络的入侵 检测三种技术的入侵检测方法。并试图弥补各自的不足,稳定性好,节 约成本,但把不同供应商的组建集成在一起比较困难。
入侵检测类型的主要产品
1、Cisco公司的NetRanger
➢ 1、NetRanger的控制器程序可以综合多站点的信息并监视散布在整 个企业网上的攻击
的任何变更
1
3
具有管理方便、配置
简单的特性,从而使
非专业人员非常容易
的管理网络安全
给网络安全策略的 定制提供指南
2
4
规模根据网络威胁、 系统构造 和安全 需求的改变而改变。
入侵检测系统的特点
• 不需要人工干预即可不间断地运行。 • 有容错功能。即使系统发生了崩溃,也不会丢失数据。 • 不需要占用大量的系统资源。 • 能够发现异于正常行为的操作。 • 能够适应系统行为的长期变化。 • 保持领先,能及时升级。
三.基于网络的入侵检测
基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混 杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前, 部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网 络入侵行为。一旦攻击被检测到相应模块将按照配置对攻击做出反应。 这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等 。
2、Network Associates公司的CyberCo
• 局域网管理员正是NetWork Associates的主要客户群。 • CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相
比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。
3、天融信网络卫士入侵检测 TopSentry
防火墙为网络提供了第一道防线,入侵检测被认为 是防火墙之后的第二道闸门,在不影响网络性能的 情况下对网络进行检测,从而提供对内部攻击、外 部攻击和误操作的实时保护。由于入侵检测系统是 防火墙后的又一道防线,从而可以极大地减少网络 免受各种攻击的伤害。
入侵检测系统的作用
使系统管理员时
刻了解网络系统
➢ 2、NetRanger在全球广域网上运行很成功。例如,它有一个路径备 份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径 上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方 。
➢ 3、NetRanger的另一个强项是其在检测问题时不仅观察单个包的内 容,而且还看上下文,即从多个包中得到线索。
典型应用:中小企业的网络部署 ,topsentry的监听口可通过端 口镜像来同时监控内网和DMZ区的入侵
IDS优点来自百度文库
界面友好,便于建立安防体系
能够使现有的安防体系更完善
能够更好的掌握系统的情况 能够追踪攻击者的攻击路线
能够抓住肇事者
IDS缺点
不能够在没有用户参与 的情况下对攻击行为展
开调查
不能够在没有用户参与 的情况下阻止攻击行为