入侵檢測介紹課件_第1頁
入侵檢測介紹課件_第2頁
入侵檢測介紹課件_第3頁
入侵檢測介紹課件_第4頁
入侵檢測介紹課件_第5頁
已閱讀5頁,還剩67頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

廣東天海威數(shù)碼技術(shù)有限公司入侵檢測系統(tǒng)概述廣東天海威數(shù)碼技術(shù)有限公司入侵檢測系統(tǒng)概述1大綱前言入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)技術(shù)原理入侵檢測系統(tǒng)的布署

入侵檢測主要功能指標

大綱前言2一、入侵檢測系統(tǒng)簡介

入侵檢測系統(tǒng)定義入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS):顧名思義,便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。特征>收集信息>分析信息>給出結(jié)論>做出反應(yīng)一、入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)定義3一、入侵檢測系統(tǒng)簡介

為什么需要入侵檢測系統(tǒng)是對防火墻的補充在入侵成功之前進行識別能減少入侵攻擊所造成的損失收集入侵攻擊的相關(guān)信息,留作證據(jù)更新防范系統(tǒng)的知識庫

一、入侵檢測系統(tǒng)簡介為什么需要入侵檢測系統(tǒng)4一、入侵檢測系統(tǒng)簡介

入侵檢測系統(tǒng)的發(fā)展以Denning模型為代表的IDS早期技術(shù)

中期:統(tǒng)計學(xué)理論和專家系統(tǒng)相結(jié)合

基于網(wǎng)絡(luò)的NIDS是目前的主流技術(shù)

入侵檢測系統(tǒng)發(fā)展趨勢>>detaile

一、入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)的發(fā)展5二、入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)(IntrusionDetectionSystem)通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 從技術(shù)上看,這些產(chǎn)品基本上分為以下幾類:基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)基于主機的入侵檢測系統(tǒng)(HIDS)分布式入侵檢測系統(tǒng)(DIDS) 此外,文件的完整性檢查工具也可看作是一類入侵檢測產(chǎn)品。

二、入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)(Intrusion6二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)

通過端口鏡像實現(xiàn)(SPAN/PortMonitor)二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)7二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點:檢測基于網(wǎng)絡(luò)的攻擊。

安裝在網(wǎng)絡(luò)關(guān)鍵點,不需要改變服務(wù)器等主機的配置。以并聯(lián)的方式接入網(wǎng)絡(luò),不影響網(wǎng)絡(luò)性能。

簡單易用。網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點:網(wǎng)絡(luò)結(jié)構(gòu)導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)來源不充分,受交換環(huán)境影響。漏報和誤報的矛盾。海量信息與分析代價的矛盾。

檢測加密網(wǎng)絡(luò)數(shù)據(jù)困難。二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)8二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測系統(tǒng)二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測系統(tǒng)9二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測主機入侵檢測系統(tǒng)的優(yōu)點:1)檢測入侵誤報率低2) 獲取入侵信息詳細3) 不受交換環(huán)境影響4) 監(jiān)測系統(tǒng)內(nèi)部入侵和違規(guī)操作5) 可以對本機進行防護和阻斷主機入侵檢測系統(tǒng)的弱點:

主機入侵檢測系統(tǒng)安裝在我們需要保護的設(shè)備上會帶來另外的安全隱患。

會影響保護設(shè)備的性能。安裝管理麻煩。操作系統(tǒng)局限系統(tǒng)日志限制被修改過的系統(tǒng)核心能夠騙過文件檢查

二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測10二、入侵檢測系統(tǒng)的分類分布式入侵檢測系統(tǒng)(DIDS)

二、入侵檢測系統(tǒng)的分類分布式入侵檢測系統(tǒng)(DIDS)11三、入侵檢測系統(tǒng)技術(shù)原理檢測技術(shù)基于特征(Signature-based)維護一個入侵特征知識庫準確性高基于異常(Anomaly-based)統(tǒng)計模型專家系統(tǒng)誤報較多三、入侵檢測系統(tǒng)技術(shù)原理檢測技術(shù)12三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測安裝在被保護的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機的負載三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測13三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理黑客入侵的過程和階段階段3:攻擊&資源控制·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternet階段2:邊界滲透·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·階段1:踩點&掃描·

Scanning&probingAutomated網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理階段314三、入侵檢測系統(tǒng)技術(shù)原理2、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNIDSNIDS三、入侵檢測系統(tǒng)技術(shù)原理2、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理Inte15三、入侵檢測系統(tǒng)技術(shù)原理3、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理工作原理InternetNIDS網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容:

包頭信息+有效數(shù)據(jù)部分三、入侵檢測系統(tǒng)技術(shù)原理3、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理Inte16三、入侵檢測系統(tǒng)技術(shù)原理4、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理4、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理17三、入侵檢測系統(tǒng)技術(shù)原理1、主機入侵檢測安裝于被保護的主機中主要分析主機內(nèi)部活動系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源三、入侵檢測系統(tǒng)技術(shù)原理1、主機入侵檢測18三、入侵檢測系統(tǒng)技術(shù)原理3、主機入侵檢測系統(tǒng)技術(shù)原理Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容:

系統(tǒng)調(diào)用、設(shè)備監(jiān)控、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志、文件防護監(jiān)控、注冊表監(jiān)控等。其它功能:個人版防火墻。特點:集中管理和報警。HIDSXHIDS工作原理三、入侵檢測系統(tǒng)技術(shù)原理3、主機入侵檢測系統(tǒng)技術(shù)原理Inte19三、入侵檢測系統(tǒng)技術(shù)原理4、主機入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理4、主機入侵檢測系統(tǒng)技術(shù)原理20三、入侵檢測系統(tǒng)技術(shù)原理1、分布式入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理1、分布式入侵檢測系統(tǒng)技術(shù)原理21三、入侵檢測系統(tǒng)技術(shù)原理項目HIDSNIDS誤警無一定量漏報與技術(shù)水平相關(guān)與數(shù)據(jù)處理能力有關(guān)(不可避免)系統(tǒng)部署與維護與網(wǎng)絡(luò)拓撲無關(guān)與網(wǎng)絡(luò)拓撲相關(guān)檢測規(guī)則少量大量檢測特征事件與信號分析特征代碼分析安全策略基本安全策略(點策略)運行安全策略(線策略)安全局限到達主機的所有事件傳輸中的非加密非保密信息安全隱患違規(guī)事件攻擊方法或手段三、入侵檢測系統(tǒng)技術(shù)原理項目HIDSNIDS誤警無一定量漏報22四、入侵檢測系統(tǒng)的布署

NIDS的位置必須要看到所有數(shù)據(jù)包共享媒介HUB交換環(huán)境隱蔽模式千兆網(wǎng)分布式結(jié)構(gòu)SensorConsole四、入侵檢測系統(tǒng)的布署NIDS的位置必須要看到所有數(shù)據(jù)包23四、入侵檢測系統(tǒng)的布署

HUBIDSSensorMonitoredServersConsole共享媒介四、入侵檢測系統(tǒng)的布署HUBIDSSensorMonit24四、入侵檢測系統(tǒng)的布署

交換環(huán)境SwitchIDSSensorMonitoredServersConsole通過端口鏡像實現(xiàn)(SPAN/PortMonitor)四、入侵檢測系統(tǒng)的布署交換環(huán)境SwitchIDSSens25四、入侵檢測系統(tǒng)的布署

隱蔽模式SwitchIDSSensorMonitoredServersConsole不設(shè)IP四、入侵檢測系統(tǒng)的布署隱蔽模式SwitchIDSSens26四、入侵檢測系統(tǒng)的布署

千兆網(wǎng)絡(luò)L4或L7交換設(shè)備四、入侵檢測系統(tǒng)的布署千兆網(wǎng)絡(luò)L4或L727五、入侵檢測主要功能指標

在性能許可的前提下,盡可能選擇功能最適合公司使用的入侵檢測系統(tǒng)。在功能選擇應(yīng)該考慮下列一些:

自動檢測類型廣泛的攻擊支持異常檢測與統(tǒng)計檢測等檢測方法蠕蟲檢測功能提供自定義策略服務(wù)入侵檢測功能檢測分析功能入侵取證和入侵者身份確認功能升級功能遠程集中管理功能日志安全存儲功能報警功能網(wǎng)絡(luò)流量分析功能與防火墻聯(lián)動五、入侵檢測主要功能指標 在性能許可的前提下,盡可能選擇28五、入侵檢測主要功能指標

察入侵檢測產(chǎn)品性能主要考慮下列指標:檢測入侵的種類和數(shù)量誤報率和漏報率系統(tǒng)檢測效率抗攻擊能力五、入侵檢測主要功能指標 察入侵檢測產(chǎn)品性能主要考慮下列指標29六、入侵檢測系統(tǒng)產(chǎn)品的選購

用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注意以下事項:產(chǎn)品功能

檢測入侵能力:入侵檢測系統(tǒng)檢測入侵能力方面主要考慮以下幾點:自動識別類型廣泛的攻擊、支持異常檢測與統(tǒng)計檢測等檢測方法、專用的蠕蟲檢測能力、策略自定義功能、內(nèi)容檢測、專用的針對服務(wù)器入侵檢測能力等。響應(yīng)和取證能力:入侵檢測系統(tǒng)在響應(yīng)和取證方面主要考慮以下幾點:多種報警功能、入侵取證能力、入侵主機身份確認能力、安全設(shè)備聯(lián)動能力、報警日志集中安全存儲等。管理能力:入侵檢測系統(tǒng)應(yīng)支持集中式的安全管理。入侵檢測系統(tǒng)管理員應(yīng)能夠有效管理檢測引擎,管理功能主要有:配置檢測引擎參數(shù)、配置文件下載上傳、時間同步、管理口管理、遠程重啟和關(guān)閉檢測引擎、模式庫升級管理、檢測引擎模塊升級管理。并提供簡單易用的串口管理功能。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在30六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注意以下事項:產(chǎn)品功能

報表分析能力:支持管理、監(jiān)視、控制和分析功能融合的圖形化控制臺。入侵檢測系統(tǒng)應(yīng)提供組合搜索分析入侵信息的能力,并能按事件分類生成實用的報表。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注31六、入侵檢測系統(tǒng)產(chǎn)品的選購

用戶在選擇入侵檢測產(chǎn)品時需要注意以下事項: 產(chǎn)品性能

檢測入侵種類和規(guī)則數(shù)量誤報率和漏報率抗攻擊能力系統(tǒng)檢測效率廠商專業(yè)性

隨著新的入侵事件和新的蠕蟲出現(xiàn),廠商應(yīng)及時升級入侵檢測產(chǎn)品,因此用戶應(yīng)選擇具有研發(fā)實力的安全廠商。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在32六、入侵檢測系統(tǒng)產(chǎn)品的選購

用戶在選擇入侵檢測產(chǎn)品時需要注意以下事項:產(chǎn)品服務(wù)

安全產(chǎn)品的技術(shù)支持具有緊急的特點,所以,擁有強大的本地技術(shù)支持能力也是選擇入侵監(jiān)測系統(tǒng)的重要因素。其中包括緊急響應(yīng)速度和能力及專業(yè)的報警日志分析取證能力等。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在33Q&AQ&A34解釋:Denning美國斯坦福國際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型>>back解釋:Denning35入侵檢測系統(tǒng)的發(fā)展1980年的4月,JamesP.Anderson為美國空軍做了一份題為“計算機安全威脅監(jiān)控與監(jiān)視”(ComputerSecurityThreatMonitoringandSur-veillance)的技術(shù)報告,這份報告被公認為是入侵檢測的開山之作。

1986年,為檢測用戶對數(shù)據(jù)庫異常訪問,W.T.Tener在IBM主機上用COBOL開發(fā)的Discovery系統(tǒng),成為最早的基于主機的IDS雛形之一。1987年,喬治敦大學(xué)的DorothyE.Denning提出了一個實時的入侵檢測系統(tǒng)抽象模型——IDES(IntrusionDetectionExpertSystem,入侵檢測專家系統(tǒng))

1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。

1994年,MarkCrosbie和GeneSpafford建議使用自治代理(autonomousagents)以便提高IDS的可伸縮性、可維護性、效率和容錯性,該理念非常符合正在進行的計算機科學(xué)其他領(lǐng)域(如軟件代理,softwareagent)的研究。1995年開發(fā)了IDES完善后的版本——NIDES(Next-GenerationIntrusionDetectionSystem)可以檢測多個主機上的入侵。另一條致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不足的途徑于1996年提出,這就是GrIDS(Graph-basedIntrusionDetectionSystem)的設(shè)計和實現(xiàn),該系統(tǒng)使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利,這些攻擊有時甚至可能跨過多個管理領(lǐng)域。近些年來,入侵檢測的主要創(chuàng)新包括:Forrest等將免疫原理運用到分布式入侵檢測領(lǐng)域。1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進到入侵檢測。>>back入侵檢測系統(tǒng)的發(fā)展1980年的4月,JamesP.An36廣東天海威數(shù)碼技術(shù)有限公司入侵檢測系統(tǒng)概述廣東天海威數(shù)碼技術(shù)有限公司入侵檢測系統(tǒng)概述37大綱前言入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)技術(shù)原理入侵檢測系統(tǒng)的布署

入侵檢測主要功能指標

大綱前言38一、入侵檢測系統(tǒng)簡介

入侵檢測系統(tǒng)定義入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS):顧名思義,便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。特征>收集信息>分析信息>給出結(jié)論>做出反應(yīng)一、入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)定義39一、入侵檢測系統(tǒng)簡介

為什么需要入侵檢測系統(tǒng)是對防火墻的補充在入侵成功之前進行識別能減少入侵攻擊所造成的損失收集入侵攻擊的相關(guān)信息,留作證據(jù)更新防范系統(tǒng)的知識庫

一、入侵檢測系統(tǒng)簡介為什么需要入侵檢測系統(tǒng)40一、入侵檢測系統(tǒng)簡介

入侵檢測系統(tǒng)的發(fā)展以Denning模型為代表的IDS早期技術(shù)

中期:統(tǒng)計學(xué)理論和專家系統(tǒng)相結(jié)合

基于網(wǎng)絡(luò)的NIDS是目前的主流技術(shù)

入侵檢測系統(tǒng)發(fā)展趨勢>>detaile

一、入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)的發(fā)展41二、入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)(IntrusionDetectionSystem)通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 從技術(shù)上看,這些產(chǎn)品基本上分為以下幾類:基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)基于主機的入侵檢測系統(tǒng)(HIDS)分布式入侵檢測系統(tǒng)(DIDS) 此外,文件的完整性檢查工具也可看作是一類入侵檢測產(chǎn)品。

二、入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)(Intrusion42二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)

通過端口鏡像實現(xiàn)(SPAN/PortMonitor)二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)43二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點:檢測基于網(wǎng)絡(luò)的攻擊。

安裝在網(wǎng)絡(luò)關(guān)鍵點,不需要改變服務(wù)器等主機的配置。以并聯(lián)的方式接入網(wǎng)絡(luò),不影響網(wǎng)絡(luò)性能。

簡單易用。網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點:網(wǎng)絡(luò)結(jié)構(gòu)導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)來源不充分,受交換環(huán)境影響。漏報和誤報的矛盾。海量信息與分析代價的矛盾。

檢測加密網(wǎng)絡(luò)數(shù)據(jù)困難。二、入侵檢測系統(tǒng)的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)44二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測系統(tǒng)二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測系統(tǒng)45二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測主機入侵檢測系統(tǒng)的優(yōu)點:1)檢測入侵誤報率低2) 獲取入侵信息詳細3) 不受交換環(huán)境影響4) 監(jiān)測系統(tǒng)內(nèi)部入侵和違規(guī)操作5) 可以對本機進行防護和阻斷主機入侵檢測系統(tǒng)的弱點:

主機入侵檢測系統(tǒng)安裝在我們需要保護的設(shè)備上會帶來另外的安全隱患。

會影響保護設(shè)備的性能。安裝管理麻煩。操作系統(tǒng)局限系統(tǒng)日志限制被修改過的系統(tǒng)核心能夠騙過文件檢查

二、入侵檢測系統(tǒng)的分類基于主機的入侵檢測46二、入侵檢測系統(tǒng)的分類分布式入侵檢測系統(tǒng)(DIDS)

二、入侵檢測系統(tǒng)的分類分布式入侵檢測系統(tǒng)(DIDS)47三、入侵檢測系統(tǒng)技術(shù)原理檢測技術(shù)基于特征(Signature-based)維護一個入侵特征知識庫準確性高基于異常(Anomaly-based)統(tǒng)計模型專家系統(tǒng)誤報較多三、入侵檢測系統(tǒng)技術(shù)原理檢測技術(shù)48三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測安裝在被保護的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機的負載三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測49三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理黑客入侵的過程和階段階段3:攻擊&資源控制·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternet階段2:邊界滲透·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·階段1:踩點&掃描·

Scanning&probingAutomated網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)三、入侵檢測系統(tǒng)技術(shù)原理1、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理階段350三、入侵檢測系統(tǒng)技術(shù)原理2、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNIDSNIDS三、入侵檢測系統(tǒng)技術(shù)原理2、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理Inte51三、入侵檢測系統(tǒng)技術(shù)原理3、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理工作原理InternetNIDS網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容:

包頭信息+有效數(shù)據(jù)部分三、入侵檢測系統(tǒng)技術(shù)原理3、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理Inte52三、入侵檢測系統(tǒng)技術(shù)原理4、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理4、網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)原理53三、入侵檢測系統(tǒng)技術(shù)原理1、主機入侵檢測安裝于被保護的主機中主要分析主機內(nèi)部活動系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源三、入侵檢測系統(tǒng)技術(shù)原理1、主機入侵檢測54三、入侵檢測系統(tǒng)技術(shù)原理3、主機入侵檢測系統(tǒng)技術(shù)原理Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容:

系統(tǒng)調(diào)用、設(shè)備監(jiān)控、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志、文件防護監(jiān)控、注冊表監(jiān)控等。其它功能:個人版防火墻。特點:集中管理和報警。HIDSXHIDS工作原理三、入侵檢測系統(tǒng)技術(shù)原理3、主機入侵檢測系統(tǒng)技術(shù)原理Inte55三、入侵檢測系統(tǒng)技術(shù)原理4、主機入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理4、主機入侵檢測系統(tǒng)技術(shù)原理56三、入侵檢測系統(tǒng)技術(shù)原理1、分布式入侵檢測系統(tǒng)技術(shù)原理設(shè)計原理三、入侵檢測系統(tǒng)技術(shù)原理1、分布式入侵檢測系統(tǒng)技術(shù)原理57三、入侵檢測系統(tǒng)技術(shù)原理項目HIDSNIDS誤警無一定量漏報與技術(shù)水平相關(guān)與數(shù)據(jù)處理能力有關(guān)(不可避免)系統(tǒng)部署與維護與網(wǎng)絡(luò)拓撲無關(guān)與網(wǎng)絡(luò)拓撲相關(guān)檢測規(guī)則少量大量檢測特征事件與信號分析特征代碼分析安全策略基本安全策略(點策略)運行安全策略(線策略)安全局限到達主機的所有事件傳輸中的非加密非保密信息安全隱患違規(guī)事件攻擊方法或手段三、入侵檢測系統(tǒng)技術(shù)原理項目HIDSNIDS誤警無一定量漏報58四、入侵檢測系統(tǒng)的布署

NIDS的位置必須要看到所有數(shù)據(jù)包共享媒介HUB交換環(huán)境隱蔽模式千兆網(wǎng)分布式結(jié)構(gòu)SensorConsole四、入侵檢測系統(tǒng)的布署NIDS的位置必須要看到所有數(shù)據(jù)包59四、入侵檢測系統(tǒng)的布署

HUBIDSSensorMonitoredServersConsole共享媒介四、入侵檢測系統(tǒng)的布署HUBIDSSensorMonit60四、入侵檢測系統(tǒng)的布署

交換環(huán)境SwitchIDSSensorMonitoredServersConsole通過端口鏡像實現(xiàn)(SPAN/PortMonitor)四、入侵檢測系統(tǒng)的布署交換環(huán)境SwitchIDSSens61四、入侵檢測系統(tǒng)的布署

隱蔽模式SwitchIDSSensorMonitoredServersConsole不設(shè)IP四、入侵檢測系統(tǒng)的布署隱蔽模式SwitchIDSSens62四、入侵檢測系統(tǒng)的布署

千兆網(wǎng)絡(luò)L4或L7交換設(shè)備四、入侵檢測系統(tǒng)的布署千兆網(wǎng)絡(luò)L4或L763五、入侵檢測主要功能指標

在性能許可的前提下,盡可能選擇功能最適合公司使用的入侵檢測系統(tǒng)。在功能選擇應(yīng)該考慮下列一些:

自動檢測類型廣泛的攻擊支持異常檢測與統(tǒng)計檢測等檢測方法蠕蟲檢測功能提供自定義策略服務(wù)入侵檢測功能檢測分析功能入侵取證和入侵者身份確認功能升級功能遠程集中管理功能日志安全存儲功能報警功能網(wǎng)絡(luò)流量分析功能與防火墻聯(lián)動五、入侵檢測主要功能指標 在性能許可的前提下,盡可能選擇64五、入侵檢測主要功能指標

察入侵檢測產(chǎn)品性能主要考慮下列指標:檢測入侵的種類和數(shù)量誤報率和漏報率系統(tǒng)檢測效率抗攻擊能力五、入侵檢測主要功能指標 察入侵檢測產(chǎn)品性能主要考慮下列指標65六、入侵檢測系統(tǒng)產(chǎn)品的選購

用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注意以下事項:產(chǎn)品功能

檢測入侵能力:入侵檢測系統(tǒng)檢測入侵能力方面主要考慮以下幾點:自動識別類型廣泛的攻擊、支持異常檢測與統(tǒng)計檢測等檢測方法、專用的蠕蟲檢測能力、策略自定義功能、內(nèi)容檢測、專用的針對服務(wù)器入侵檢測能力等。響應(yīng)和取證能力:入侵檢測系統(tǒng)在響應(yīng)和取證方面主要考慮以下幾點:多種報警功能、入侵取證能力、入侵主機身份確認能力、安全設(shè)備聯(lián)動能力、報警日志集中安全存儲等。管理能力:入侵檢測系統(tǒng)應(yīng)支持集中式的安全管理。入侵檢測系統(tǒng)管理員應(yīng)能夠有效管理檢測引擎,管理功能主要有:配置檢測引擎參數(shù)、配置文件下載上傳、時間同步、管理口管理、遠程重啟和關(guān)閉檢測引擎、模式庫升級管理、檢測引擎模塊升級管理。并提供簡單易用的串口管理功能。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在66六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注意以下事項:產(chǎn)品功能

報表分析能力:支持管理、監(jiān)視、控制和分析功能融合的圖形化控制臺。入侵檢測系統(tǒng)應(yīng)提供組合搜索分析入侵信息的能力,并能按事件分類生成實用的報表。六、入侵檢測系統(tǒng)產(chǎn)品的選購用戶在選擇入侵檢測系統(tǒng)產(chǎn)品時需要注67六、入侵檢測系統(tǒng)產(chǎn)品的選購

用戶在選擇入侵檢測產(chǎn)品時需要注意以下事項: 產(chǎn)品性能

檢測入侵種類和規(guī)則數(shù)量誤報率和漏報率抗攻擊能力系統(tǒng)檢測效率廠商專業(yè)性

隨著新的入侵事件和新的蠕蟲出現(xiàn),廠

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論