入侵检测技术概要ppt课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,入侵检测技术,入侵检测技术,安全概述,入侵检测的分类,入侵检测系统的组成,入侵检测系统的设计原理,入侵检测系统的安装部署,入侵检测的发展,目录,:,安全概述 目录:,概 述,概 述,随着黑客攻击技术的日渐高明，暴露出来的系统漏洞也越来越多，传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应，越来越不能满足现有系统对安全性的要求。网络安全需要纵深的、多层次的安全措施。,入侵检测概述,随着黑客攻击技术的日渐高明，暴露出来的系统漏洞也越来越多，传,入侵者可寻找防火墙背后可能敞开的后门；,不能阻止内部攻击；,通常不能提供实时的入侵检测能力；,不能主动跟踪入侵者；,不能对病毒进行有效防护。,入侵检测系统（,IDS,）是全新的计算机安全措施。它不仅可以检测来自网络外部的入侵行为，同时也可以检测来自网络内部用户的未授权活动和误操作，有效地弥补了防火墙的不足。,防火墙技术的局限性,入侵者可寻找防火墙背后可能敞开的后门；防火墙技术的局限性,防火墙和入侵检测的关系,假如说防火墙是一幢大楼的门锁，那么入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能防止大楼内部个别人员的不良企图，并且一旦小偷绕过门锁进入大楼，门锁就没有任何作用了。网络系统中的入侵检测系统恰恰类似于大楼内的实时监视和报警装置，在安全监测中是十分必要的，它被视为防火墙之后的第二道安全闸门。,防火墙和入侵检测的关系假如说防火墙是一幢大楼的门锁，那么入侵,回顾,:,安全的概念,保密性（,Confidentiality,）,完整性,（,Integrity,）,数据完整性，未被非授权篡改或者损坏,系统完整性，系统未被非授权操纵，按既定的功能,运行,可用性（,Availability,）,鉴别,（,Authenticity,）,实体身份的鉴别，适用于用户、进程、系统、信息,等,不可否认性,（,Non-repudiation,）,防止源点或终点的抵赖,回顾:安全的概念 保密性（ Confidentiality,面对的威胁,人因攻击：社会工程、盗窃行为,物理攻击,数据攻击：信息获取、非法获取数据、篡改数据,身份冒充：,IP,欺骗、会话重放、会话劫持,非法使用：利用系统、网络的漏洞,拒绝服务,(DoS),面对的威胁 人因攻击：社会工程、盗窃行为,入侵检测技术概要ppt课件,主要的传统安全技术,加密,消息摘要、数字签名,身份鉴别：口令、鉴别交换协议,访问控制,安全协议：,IPSec,、,SSL,网络安全产品与技术：防火墙、,VPN,内容控制,:,防病毒、内容过滤等,预防,(prevention),、防护（,protection),主要的传统安全技术 加密,预防措施的局限性,预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。,大部分损失是由内部引起的,2003,年,CSI/FBI,（,Computer security,institute/Federal Bureau of Investigation),指出，,82%,的损失是内部威胁造成的。,预防措施的局限性 预防性安全措施采用严格的访问控制和数,P2DR,安全模型,以安全策略为核心,P2DR安全模型以安全策略为核心,P2DR,安全模型,策略,：是模型的核心，具体的实施过程中，策,略意味着网络安全要达到的目标。,防护,：安全规章、安全配置、安全措施,检测,：异常监视、模式发现,响应,：报告、记录、反应、恢复,P2DR安全模型 策略：是模型的核心，具体的实施过程中，策,P2DR,安全模型,Pt Dt+Rt,动态模型,基于时间的模型,可以量化,可以计算,P2DR安全模型Pt Dt+Rt,入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。,何为入侵检测,?,入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对,何为入侵检测系统,?,入侵检测系统英文缩写是,IDS,（,Intrusion Detection System,），是指通过对网络及其上的系统进行监视，可以识别恶意的使用行为，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。因为入侵行为不仅可以来自外部，同时也可来自内部用户的未授权活动。所以一个有效的入侵检测系统应当能够检测两种类型的入侵：来自外部世界的闯入和有知识的内部攻击者。,何为入侵检测系统? 入侵检测系统英文缩写是IDS,入侵检测系统基本上不具有访问控制的能力，它就像一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式或正常使用方式进行比较，来确定入侵是否发生和入侵的类型并进行报警。网络管理员根据这些报警就可以确切地知道所受到的攻击并采取相应的措施。因此，可以说入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。,入侵检测系统的特性,入侵检测系统基本上不具有访问控制的能力，它就像一个有着多年经,为什么需要,IDS,弥补其它安全产品或措施的缺陷,传统安全产品的出发点,认证机制防止未经授权的使用者登录用户的系统,加密技术防止第三者接触到机密的文件,防火墙防止未经许可的数据流进入用户内部网络,为什么需要IDS 弥补其它安全产品或措施的缺陷,为什么需要,IDS,unicode漏洞攻击原理是windows对,特殊符号,的处理时，利用拓展符绕过特殊验证,来进行执行一些对系统越权访问的漏洞,为什么需要IDSunicode漏洞攻击原理是windows,IDS,的组成,检测引擎,控制中心,HUB,检测引擎,Monitored Servers,控制中心,IDS的组成检测引擎HUB检测引擎Monitored Ser,IDS,基本结构,入侵检测系统包括三个功能部件,（,1,）,信息收集,（,2,）,信息分析,（,3,）结果处理,入侵检测系统包括三个功能部件：提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。,IDS基本结构入侵检测系统包括三个功能部件,IDS,的主要功能,监视用户和系统的活动，查找非法用户和合法用户的越权操作。,审计系统配置的正确性和安全漏洞，并提示管理员修补漏洞。,对用户的非正常活动进行统计分析，发现入侵行为的规律。,检查系统程序和数据的一致性与正确性。,能够实时地对检测到的入侵行为进行反应。,操作系统的审计跟踪管理。,IDS的主要功能监视用户和系统的活动，查找非法用户和合法用户,信息搜集,信息搜集,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为,需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息,尽可能扩大检测范围,从一个源来的信息有可能看不出疑点,信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性,信息收集的来源,系统或网络的日志文件,网络流量,系统目录和文件的异常变化,程序执行中的异常行为,信息收集的来源系统或网络的日志文件,信息分析,信息分析,信息分析,模式匹配,统计分析,完整性分析，往往用于事后分析,信息分析 模式匹配,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为,一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）,测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备,完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,在发现被更改的、被安装木马的应用程序方面特别有效,完整性分析完整性分析主要关注某个文件或对象是否被更改,结果处理,结果处理,入侵检测性能关键参数,误报,(,false positive,),：,如果系统错误地将异常活动定义为入侵,漏报,(,false negative,),：,如果系统未能检测出真正的入侵行为,入侵检测性能关键参数误报(false positive)：如,入侵检测的分类,(1),按照数据来源：,基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机,优点是可精确判断入侵事件，并及时进行反应，不受网络加密的影响。缺点是会占用宝贵的主机资源。另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开,IDS,。,基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行,这类系统不需要主机通过严格的审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也较差。,入侵检测的分类(1)按照数据来源：,入侵检测的分类,(1),基于路由器：通过对网关中相关信息的提取，提供对整个信息基础设施的保护，确保大型网络计算机之间安全、可靠的连接。,一般安装在路由器上，但负载变化对网络性能的影响很大。,混合型,一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。,入侵检测的分类(1)基于路由器：通过对网关中相关信息的提取，,入侵检测的分类（,2,）,按照分析方法（检测方法）,异常检测模型（,Anomaly Detection ):,首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。,误用检测模型（,Misuse Detection),：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。,入侵检测的分类（2）按照分析方法（检测方法）,异常检测（,Anomaly Detection,），也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。该技术首先假设网络攻击行为是不常见的或是异常的，区别于所有正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。例如，系统把用户早六点到晚八点登录公司服务器定义为正常行为，若发现有用户在晚八点到早六点之间（如凌晨一点）登录公司服务器，则把该行为标识为异常行为。异常检测试图用定量方式描述常规的或可接受的行为，从而区别非常规的、潜在的攻击行为。,9.2.1,异常检测技术,异常检测（Anomaly Detection），也称基于行为,该技术的前提条件是入侵活动是异常活动的一个子集，理想的情况是：异常活动集与入侵活动集相等。但事实上，二者并不总是相等的，有,4,种可能性：,（,1,）是入侵但非异常；,（,2,）非入侵但表现异常；,（,3,）非入侵且非异常；,（,4,）是入侵且异常。,9.2.1,异常检测技术,该技术的前提条件是入侵活动是异常活动的一个子集，理想的情况是,该技术主要包括以下几种方法：,1,用户行为概率统计模型,这种方法是产品化的入侵检测系统中常用的方法，它是基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统的被检测用户对系统的使用情况，然后根据系统内部保存的用户行为概率统计模型进行检测，并将那些与正常活动之间存在较大统计偏差的活动标识为异常活动。它能够学习主体的日常行为，根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户行为与历史行为习惯不一致时，就会被视为异常。,9.2.1,异常检测技术,该技术主要包括以下几种方法：9.2.1 异常检测技术,在统计方法中，需要解决以下四个问题：,(1),选取有效的统计数据测量点，生成能够反映主体特征的会话向量；,(2),根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；,(3),采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；,(4),随着时间变化，学习主体的行为特征，更新历史记录。,9.2.1,异常检测技术,在统计方法中，需要解决以下四个问题：9.2.1 异常检测技术,2,预测模式生成,它基于如下假设：审计事件的序列不是随机的，而是符合可识别的模式的。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析，从而能检测出统计方法所不能检测的异常事件。这一方法首先根据已有的事件集合按时间顺序归纳出一系列规则，在归纳过程中，随着新事件的加入，它可以不断改变规则集合，最终得到的规则能够准确地预测下一步要发生的事件。,9.2.1,异常检测技术,2预测模式生成9.2.1 异常检测技术,3,神经网络,通过训练神经网络，使之能够在给定前,n,个动作或命令的前提下预测出用户下一动作或命令。网络经过用户常用的命令集的训练，经过一段时间后，便可根据网络中已存在的用户特征文件，来匹配真实的命令。任何不匹配的预测事件或命令，都将被视为异常行为而被检测出来。,该方法的好处是：能够很好的处理噪音数据，并不依赖于对所处理的数据的统计假设，不用考虑如何选择特征向量的问题，容易适应新的用户群。,缺点是：命令窗口的选择不当容易造成误报和漏报；网络的拓扑结构不易确定；入侵者能够训练该网络来适应入侵。,9.2.1,异常检测技术,3神经网络9.2.1 异常检测技术,误用检测(Misuse Detection)，也称基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背安全策略事件的特征，判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大部分杀毒软件采用的特征码匹配原理类似。其原理如图9.5所示。,9.2.2,误用检测技术,误用检测(Misuse Detection)，也称基于知识的,9.2.2,误用检测技术,9.2.2 误用检测技术,该技术的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。,9.2.2,误用检测技术,该技术的前提是假设所有的网络攻击行为和方法都具有一定的模式或,该技术主要包括以下方法：,1,专家系统,用专家系统对入侵进行检测，经常是针对有特征的入侵行为。该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动对所涉及入侵行为进行分析。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。因此，该方法应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。,9.2.2,误用检测技术,该技术主要包括以下方法：9.2.2 误用检测技术,2,模型推理,入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列，这种行为序列构成了具有一定行为特征的模型。该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，并根据这种模型所代表的入侵意图的行为特征，来判断用户执行的操作是否属于入侵行为。该方法也是建立在对当前已知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理的数学理论。,9.2.2,误用检测技术,2模型推理9.2.2 误用检测技术,3,状态转换分析,状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。该方法首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的条件，即导致系统进入被入侵状态必须执行的操作（特征事件）。然后用状态转换图来表示每一个状态和特征事件。当分析审计事件时，若根据对应的条件布尔表达式系统从安全状态转移到不安全的状态，则把该事件标记为入侵事件。系统通过对事件序列进行分析来判断入侵是否发生。,9.2.2,误用检测技术,3状态转换分析9.2.2 误用检测技术,4,模式匹配,该方法将已知的入侵特征编码成与审计记录相符合的模式，并通过将新的审计事件与已知入侵模式相比较来判断是否发生了入侵。当新的审计事件产生时，该方法将寻找与它相匹配的已知入侵模式。如果找到，则意味着发生了入侵。,9.2.2,误用检测技术,4模式匹配9.2.2 误用检测技术,5,键盘监控,该方法假设入侵对应特定的击键序列模式，通过监测用户击键模式，并将这一模式与入侵模式进行匹配来检测入侵。其缺点是：在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，存在无数击键方式表示同一种攻击。而且，用户注册的,shell,提供了简写命令序列工具，可产生所谓的别名，类似宏定义。因为这种技术仅仅分析击键，所以不能检测到恶意程序只执行结果的自动攻击。,9.2.2,误用检测技术,5键盘监控9.2.2 误用检测技术,入侵检测的分类（,3,）,按系统各模块的运行方式,集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。目前，一些所谓的分布式入侵检测系统只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成，因此这种入侵检测系统实际上还是集中式的。,入侵检测的分类（3）按系统各模块的运行方式,入侵检测的分类（,3,）,入侵检测的分类（3）,入侵检测的分类（,3,）,集中式结构优点：数据的集中处理可以更加准确地分析可能的入侵行为。,集中式结构缺点：,（1）可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。,（2）难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。,（3）中央分析器是个单一失效点。如果中央分析器受到入侵者的破坏，那么整个网络将失去保护。,入侵检测的分类（3）集中式结构优点：数据的集中处理可以更加准,分布式：系统的各个模块分布在不同的计算机和设备上。,随着入侵检测产品日益在规模庞大的企业中应用，分布式技术也开始融入到入侵检测产品中来。这种分布式结构采用多个代理在网络各部分分别进行入侵检测，并协同处理可能的入侵行为。,优点：能够较好地实现数据的监听，可以检测内部和外部的的入侵行为。,缺点：不能完全解决集中式入侵检测的缺点。,入侵检测的分类（,3,）, 分布式：系统的各个模块分布在不同的计算机和设备上。入侵检,分层式：由于单个主机资源的限制和攻击信息的分布，在针对高层次攻击（如协同攻击）上，需要多个检测单元进行协同处理，而检测单元通常是智能代理。因此，考虑采用分层的结构来检测越来越复杂的入侵是比较好的选择。,入侵检测的分类（,3,）, 分层式：由于单个主机资源的限制和攻击信息的分布，在针对高,在树形分层体系中，最底层的代理负责收集所有的基本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。其特点是所处理的数据量大、速度快、效率高，但它只能检测某些简单的攻击。,中间层代理起承上启下的作用，一方面可以接受并处理下层节点处理后的数据，另一方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点进行报告。中间节点的加入减轻了中央控制台的负担，增强了系统的伸缩性。,入侵检测的分类（,3,）,在树形分层体系中，最底层的代理负责收集所有的基本信息，然后对,最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可根据环境的要求动态调整节点层次关系图，实现系统的动态配置。,网络中攻击与防护的对抗是一个长期复杂的过程。从长远的安全角度考虑，一个好的体系结构将提高整个安全系统的自适应性和进化能力。然而，目前由于通用标准的缺乏，入侵检测系统内部各部件缺乏有效的信息共享和协同机制，限制了攻击的检测能力，并且入侵检测系统之间也难以交换信息和协同工作，降低了检测效率。,入侵检测的分类（,3,）,最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它,入侵检测系统的设计原理,入侵检测系统的设计原理,入侵检测技术概要ppt课件,基于主机的入侵检测系统,系统分析主机产生的数据（应用程序及操作系统的事件日志）,由于内部人员的威胁正变得更重要。,基于主机的检测威胁,基于主机的入侵检测结构,优点及问题,基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作,主机的数据源,操作系统事件日志,应用程序日志,系统日志,关系数据库,Web,服务器,主机的数据源 操作系统事件日志,基于主机的检测威胁,特权滥用,：当用户具有,root,权限、管理员特权时，该用户以非授权方式使用特权。,前职员使用旧帐户,管理员创建后门帐户,关键数据的访问及修改,学生改变成绩、职员修改业绩、非授权泄露、修改,WEB,站点,安全配置的变化,用户没有激活屏保、,激活,guest,帐户,基于主机的检测威胁特权滥用：当用户具有root权限、管理员特,基于主机的入侵检测系统结构,基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信,集中式：原始数据在分析之前要先发送到中央位置,分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台,基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代,目标系统,审计记录收集方法,审计记录预处理,异常检测,误用检测,安全管理员接口,审计记录数据,归档,/,查询,审计记录数据库,审计记录,基于审计的入侵检测系统结构示意图,目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管,集中式基于主机的入侵检测结,集中式基于主机的入侵检测结,集中式检测的优缺点,优点：,不会降低目标机的性能,统计行为信息,多主机标志、用于支持起诉的原始数据,缺点：,不能进行实时检测,不能实时响应,影响网络通信量,集中式检测的优缺点优点：,分布式基于主机的入侵检测结,分布式基于主机的入侵检测结,分布式检测的优缺点,优点：,实时告警,实时响应,缺点：,降低目标机的性能,没有统计行为信息,没有多主机标志,没有用于支持起诉的原始数据,降低了数据的辨析能力,系统离线时不能分析数据,分布式检测的优缺点优点：,基于主机入侵检测系统工作原理,基于主机入侵检测系统工作原理,操作模式,操作主机入侵检测系统的方式,警告：用于检测关键任务误用,监视：更尽力地观察几个主体的行为,毁坏情况评估：确定计算机受损的程度,遵从性：用于确定用户是否在遵守安全策略,操作模式操作主机入侵检测系统的方式,基于主机的入侵检测的好处,威慑内部人员,检测,通告及响应,毁坏情况评估,攻击预测,诉讼支持,行为数据辨析,基于主机的入侵检测的好处 威慑内部人员,基于网络的入侵检测系统,入侵检测系统分析网络数据包,基于网络的检测威胁,基于网络的结构,优点及问题,基于网络的入侵检测系统入侵检测系统分析网络数据包,基于网络的检测威胁,非授权访问,数据,/,资源的窃取,拒绝服务,基于网络的检测威胁非授权访问,管理,/,配置,入侵分析引擎器,网络安全数据库,嗅探器,嗅探器,分析结果,基于网络的入侵检测系统模型,管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基,分布式网络节点结构,为解决高速网络上的丢包问题，,1999,年,6,月，出现的一种新的结构，将检测引擎分布到网络上的每台计算机上,每个检测引擎检查流经他的网络分组，然后检测引擎相互通信，主控制台将所有的告警聚集、关联起来,分布式网络节点结构为解决高速网络上的丢包问题，1999年6月,数据采集构件,应急处理构件,通信传输构件,检测分析构件,管理构件,安全知识库,分布式入侵检测系统结构示意图,数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全,基于网络入侵检测系统工作原理网络,基于网络入侵检测系统工作原理网络,基于网络的入侵检测的好处,威慑外部人员,检测,自动响应及报告,基于网络的入侵检测的好处威慑外部人员,蓝盾入侵检测系统,蓝盾入侵检测系统,蓝盾网络入侵检测系统特点,固化、稳定、高效的检测引擎,完备的功能,基于内核的千兆入侵检测系统,灵活的策略设置,反向拍照,实时的检测分析、响应,不断更新的入侵模式,运行中的实时系统升级,多网络检测、集中管理,强大的信息记录、查询能力,蓝盾网络入侵检测系统特点固化、稳定、高效的检测引擎,蓝盾网络入侵检测系统特点,简单易用,更低的漏报、误报率,与防火墙联动,免费的数据库,过滤无关数据,简单有效的流量分析,蓝盾网络入侵检测系统特点简单易用,蓝盾主机入侵检测系统特点,异常检测,事件检测,完整性检测,多平台检测,事件综合分析和数据挖掘,与防火墙联动,自定义主机检测策略,应用程序监视,蓝盾主机入侵检测系统特点异常检测,蓝盾分布式入侵检测系统特点,分布式管理,策略分发,事件分布式管理,安全加密传输,蓝盾分布式入侵检测系统特点分布式管理,例子,:,番禺东城小城,HUB,检测引擎,Servers,控制中主,Internet,日本,台湾,例子:番禺东城小城HUB检测引擎Servers控制中主In,入侵检测的部署,入侵检测的部署,入侵检测的部署,NIDS,的位置必须要看到所有数据包,共享媒介,HUB,交换环境,隐蔽模式,千兆网,入侵检测的部署NIDS的位置必须要看到所有数据包,共享媒介,HUB,检测引擎,Servers,控制中主,共享媒介HUB检测引擎Servers控制中主,交换环境,Switch,检测引擎,Servers,控制中心,通过端口镜像实现,（,SPAN / Port Monitor,）,交换环境Switch检测引擎Servers控制中心通过端口镜,隐蔽模式,Switch,检测引擎,Servers,控制中心,不设,IP,隐蔽模式Switch检测引擎Servers控制中心不设IP,千兆网络,IDS,检测引擎,L4,或,L7,交换设备,千兆网络IDS 检测引擎L4或L7,蓝盾入侵检测系统典型应用,1,蓝盾入侵检测系统典型应用1,蓝盾入侵检测典型应用,2,蓝盾入侵检测典型应用2,边缘路由器,病毒服务器,防火墙,IDS,探测器,Internet,内网,VPN,解密,暂时缓存数据,查询病毒服务器,查询病毒服务器,数据包带有病毒吗,是否攻击包？,YES,NO,先杀毒再转发数据包,直接转发该数据包,YES,蓝盾整体解决方案图,通知防火墙阻断攻击,通过蓝盾防火墙与病毒服务器、,IDS,、,VPN,等其他安全产品联动，构成一个有机、整体的安全解决方案,生成动态规则阻断攻击,边缘路由器病毒服务器防火墙IDS探测器Internet内网V,入侵检测的发展方向,入侵检测的发展方向,发展方向,更有效的集成各种入侵检测数据源，包括从不同的系统和不同的检测引擎上采集的数据，提高报警准确率；,在事件诊断中结合人工分析；,提高对恶意代码的检测能力，包括,email,攻击，,Java,，,ActiveX,等；,采用一定的方法和策略来增强异种系统的互操作性和数据一 致性；,研制可靠的测试和评估标准；,提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发；,提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段；,发展方向更有效的集成各种入侵检测数据源，包括从不同的系统和不,