1、入侵检测系统 IDS启明星辰认证培训部:沈尚方shen_第一部分入侵检测系统概述入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构什么是入侵检测系统入侵检测( intrusion detection)入侵检测是对即将发生、正在发生的或已经发生的入侵行为的一种识别过程,是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护,是一种增强系统安全的有效方法。入侵检测系统 (IDS-intrusion detection system)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具。一般是用于检测的软件和硬件的组合。
2、入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构IDS的作用 在安全体系中, IDS是唯一一个通过数据和行为模式判断其是否有效的系统监控后门检测Card Key响应检测检测入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构入侵检测技术的起源( 1)审计技术:产生、记录并检查按照时间顺序排列的系统事件记录的过程1980年, James anderson的 计算机安全监控与监视 computer security threat monitoring a
3、nd surveillance第一次详细阐述了入侵检测的概念将计算机系统威胁分为:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想被认为是入侵检测的开山之作入侵检测技术的起源( 2)1984-1986年,乔治敦大学的 Dorothy denning 和 SRI/CSL的 peter neumann 研究出了一个实时入侵检测系统模型 IDES(入侵检测专家系统)1990年,加州大学戴维斯分校的 L.T.heberlein等人开发的 NSM(network security Monitor)该系统第一次直接将网络流作为审计数据来源。因而可以在不将审计数据转换成统一格式的情况下监
4、控异种主机入侵检测系统发展史的新的一页,两大阵营的正式形成:基于网络的 IDS和基于主机的 IDS入侵检测技术的起源( 3)1988年之后,美国开展对分布式入侵检测系统( DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。 DIDS是分布式入侵检测系统历史上的一个里程碑式的产物。20世纪 90年代到现在,入侵检测系统的研发呈现百家争鸣的局面,并在智能化和分布式两个方向取得了长足的进展入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构入侵检测系统 IDS体系结构事件产生器检测引擎(事件分析引擎)事件数据库响应组件事件产生器负责原始数据的采集,并将获得的
5、原始数据转化为可以向其它系统提供的事件。数据来源:对于 NIDS系统,主要在网络不同的关键点处,收集的来自网络中的数据包。对于 HIDS系统,主要来自审计日志、系统日志、主机网络端口等处获得的信息。检测引擎(事件分析引擎)对事件产生器所提供的事件,进行分析,通过与预定义的检测 规则 进行比对,判断是否为入侵行为。并将分析结果提供给其他系统,转变为告警信息。检测引擎(事件分析引擎)事件分析方法:目前 IDS系统主要有两种通用的分析方法,每种分析方法也各有利弊。1、模式匹配 (误用检测模型 ):将收集到的事件与已知的网络入侵行为数据库和系统误用模式数据库进行对比,从而发现违背安全规律的行为。2、统
6、计分析(异常检测模型):首先给系统对象(用户、文件、目录和设备)等创建一个统计描述,统计一些正常使用时的一些测量属性(如访问次数、操作失败次数)。测量属性的平均值和偏差将被用来与网络、系统的行为进行对比,任何观察值在正常范围值之外,就认为入侵发生。入侵检测系统两个重要参数误报:检测系统在检测时,将系统的正常行为判为入侵行为的错误,被称为误报。检测系统在检测过程中,出现误报的概率称为系统的误报率漏报:检测系统在检测时,没有能够正确的识别某些入侵行为,因而没有报警现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统漏报率误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或
7、系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程特点:误报率低、漏报率高监控 特征提取 判定匹配误用检测误用检测的效率和准确性取决于攻击特征库完整性和对攻击行为特征提取的准确性采用模式匹配,能明显降低误报率,但是漏报率较高。攻击特征的细微变化,可能导致系统漏报。异常检测前提:入侵是异常行为的子集用户轮廓( Profile):通常定义为各种行为参数和阈值的集合。用于描述正常行为范围过程特点:误报率高、漏报率低监控 量化 判定修改比对异常检测异常检测的效率和准确性取决于用户轮廓的完备性和监控的频率不需要对任何入侵行为进行定义,能有效的检测未知的入侵行为系统能针对用户行为的改变进行自我调整
8、和优化,但随着检测模型的逐步精确,异常检测会消耗系统更多的资源事件数据库用于存放各种中间和最终数据,如检测规则和检测结果。从事件产生器或事件分析器接收数据,一般会将数据进行长时间的保存。响应组件响应组件用于对检测引擎分析的结果作出反应。可以是切断连接、封锁用户帐号、改变文件属性等强烈反应,也可以是简单的报警(如控制台显示、电子邮件通知、手机短信等)第二部分天阗网络 IDS基本操作及维护天阗 6.0系类产品天阗 6.0网络 IDS的介绍天阗 6.0入侵检测系统的基本操作天阗 6.0入侵检测系统日常维护与操作建议天阗入侵检测与管理系统产品组成现行产品版本: V 6.0主要组成部分:主机入侵检测系统
9、(主机型)网络入侵检测系统(网络型)入侵管理组件(管理型)网络引擎产品型号产品型号 NS200 NS500 NS2200 NS2800多级管理 不支持 支持 不支持 支持向下分级 无 支持 无 支持网络环境 百兆 百兆 千兆 千兆检测网路 一路 两路 一路 两路检测能力 100Mbps 200Mbps 1000Mbps 2000Mbps天阗网络入侵检测系统组成产品组件网络探测引擎管理控制中心综合信息显示日志分析中心特点天阗网络入侵检测系统独创性的将检测、管理配臵、报警显示以及日志分析四部分的功能可以实现分开部署,满足多人同时监测和分权限管理。天阗网络 IDS产品组成控制中心表现方式: 软件功能: 接收事件 策略下发 事件库升级探测引擎表现方式: 硬件功能: 抓包 分析数据 上报事件综合显示中心表现方式: 软件功能: 实时显示事件日志分析中心表现方式: 软件功能: 日志记录与报表网络 IDS的基本结构
