《信息安全--IDS(X)》由会员分享,可在线阅读,更多相关《信息安全--IDS(X)(20页珍藏版)》请在金锄头文库上搜索。
1、入侵检测系统,Intrusion Detection System (IDS),背景介绍 概念、功能介绍 设计原理及工作过程 分类方法 入侵检测标准化工作 主流产品 展望,为什么需要IDS,单一防护产品的弱点 防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁 入侵很容易 入侵教程随处可见 各种工具唾手可得,关于防火墙 网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限 仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知,网络安全工具的特点,网络入侵的特点,
2、没有地域和时间的限制 通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强 入侵手段更加隐蔽和复杂,入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统:进行入侵检测的软件与硬件的组合 (IDS : Intrusion Detection System),入侵检测,入侵检测的职责,识别黑客常用入侵与共攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理,IDS的作用,工作过程,信息收集 信息分析 告警与响应,分类,按检测对象:
3、,按分析方法:,按工作方式:,在线入侵检测IDS 离线入侵检测IDS,基于主机的IDS 基于网络的IDS 混合型的IDS,异常检测模型 误用检测模型,入侵检测系统性能关键参数,误报(false positive):如果系统错误地将异常活动定义为入侵 漏报(false negative):如果系统未能检测出真正的入侵行为,两类IDS监测软件,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,IDS优点与缺点,使现有安防体系更完善 更好掌握系统情况 追踪攻击者攻击线路 界面友好 抓住肇事者,用户必须参与对攻击调
4、查与组织攻击行为 不能克服网络协议缺陷 不能克服设计原理方面缺陷 下供应不够及时,CIDF(The Common Intrusion Detection Framework),http:/www.gidos.org/drafts,CIDF,CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源 CIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议 符合CIDF规范的IDS可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策略 CIDF的主要作用在于集成
5、各种IDS,使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础,产品,商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I,面临的问题,(1) 随着能力的提高,入侵者会研制更多的攻击工具,以及使用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击; (2) 入侵者采用加密手段传输攻击信息; (3)日
6、益增长的网络流量导致检测分析难度加大; (4) 缺乏统一的入侵检测术语和概念框架;,面临的问题,(5)不适当的自动响应机制存在着巨大的安全风险; (6) 存在对入侵检测系统自身的攻击; (7)过高的错报率和误报率,导致很难确定真正的入侵行为; (8) 采用交换方法限制了网络数据的可见性; (9)高速网络环境导致很难对所有数据进行高效实时分析,发展方向,更有效的集成各种入侵检测数据源,包括从不同的系统和不同的传感器上采集的数据,提高报警准确率; 在事件诊断和策略来增强异种系统的互操作性和数据一 致性; 研制可靠的测试中结合人工分析,提高判断准确性; 提高对恶意代码的检测能力,包括email攻击,Java,ActiveX等; 采用一定的方法和评估标准; 提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻击主体的观点出发; 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段;,
