《信息安全技术第6章入侵检测系统.ppt》由会员分享,可在线阅读,更多相关《信息安全技术第6章入侵检测系统.ppt(37页珍藏版)》请在金锄头文库上搜索。
1、第第6章章 入侵检测系统入侵检测系统本章概要本章概要本章针对入侵检测系统展开详尽的描述:本章针对入侵检测系统展开详尽的描述:p 入侵检测系统的概念;入侵检测系统的概念;p 入侵检测系统的主要技术;入侵检测系统的主要技术;p 入侵检测系统的类型;入侵检测系统的类型;p 入侵检测系统的优缺点;入侵检测系统的优缺点;p 入侵检测系统的部署方式。入侵检测系统的部署方式。2课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:p 了解入侵检测系统工作基本原理;了解入侵检测系统工作基本原理;p 了解入侵检测系统在整个安全防护体系中的作用;了解入侵检测系统在整个安全防护体系中的作用;p 掌
2、握入侵检测系统的部署方式。掌握入侵检测系统的部署方式。36.1 入侵检测系统的概念入侵检测系统的概念 当当前前,平平均均每每20秒秒就就发发生生一一次次入入侵侵计计算算机机网网络络的的事事件件,超超过过1/3的的互互联联网网防防火火墙墙被被攻攻破破!面面对对接接二二连连三三的的安安全全问问题题,人人们们不不禁禁要要问问:到到底底是是安安全全问问题题本本身身太太复复杂杂,以以至至于于不不可可能能被被彻彻底底解解决决,还还是是仍仍然然可可以以有有更更大大的的改改善善,只只不不过过我我们们所所采采取取安安全全措措施施中中缺缺少少了了某某些些重重要要的的环环节节。有有关关数数据据表表明明,后后一一种种
3、解解释释更更说说明明问问题题。有有权权威威机机构构做做过过入入侵侵行行为为统统计计,发发现现有有80来来自自于于网网络络内内部部,也也就就是是说说,“堡堡垒垒”是是从从内内部部被被攻攻破破的的。另另外外,在在相相当当一一部部分分黑黑客客攻攻击击中中,黑黑客客都都能能轻轻易易地地绕绕过过防防火火墙墙而而攻攻击击网网站站服服务务器器。这这就就使使人人们们认认识识到到:仅仅靠靠防防火火墙墙仍仍然然远远远远不不能能将将“不不速速之之客客”拒拒之之门门外外,还还必必须须借借助助于于一一个个“补救补救”环节环节入侵检测系统。入侵检测系统。46.1.1 什么是入侵检测系统?什么是入侵检测系统? 入入侵侵检检
4、测测系系统统(Intrusiondetetionsystem,简简称称IDS)是是指指监监视视(或或者者在在可可能能的的情情况况下下阻阻止止)入入侵侵或或者者试试图图控控制制你你的的系系统统或或者者网网络络资资源源的的行行为为的的系系统统。作作为为分分层层安安全全中中日日益益被被越越普普遍遍采采用用的的成成分分,入入侵侵检检测测系系统统能能有有效效地地提提升升黑黑客客进进入入网网络络系系统统的的门门槛槛。入入侵侵检检测测系系统统能能够够通通过过向向管管理理员员发发出出入入侵侵或或者者入入侵侵企企图图来来加加强强当当前前的的存存取取控控制制系系统统,例例如如防防火火墙墙;识识别别防防火火墙墙通通
5、常常不不能能识识别别的的攻攻击击,如如来来自自企企业业内内部部的的攻攻击击;在在发发现现入入侵侵企图之后提供必要的信息。企图之后提供必要的信息。5入入侵侵检检测测是是防防火火墙墙的的合合理理补补充充,帮帮助助系系统统对对付付网网络络攻攻击击,扩扩展展了了系系统统管管理理员员的的安安全全管管理理能能力力(包包括括安安全全审审计计、监监视视、进进攻攻识识别别和和响响应应),提提高高了了信信息息安安全全基基础础结结构构的的完完整整性性。它它从从计计算算机机网网络络系系统统中中的的若若干干个个关关键键点点收收集集信信息息,并并分分析析这这些些信信息息,检检测测网网络络中中是是否否有有违违反反安安全全策
6、策略略的的行行为为和和遭遭到到袭袭击击的的迹迹象象。它它的的作作用用是是监监控控网网络络和和计计算算机机系系统统是是否否出出现现被被入入侵侵或或滥滥用用的的征征兆。兆。作作为为监监控控和和识识别别攻攻击击的的标标准准解解决决方方案案,IDS系系统统已已经经成成为为安安防防体体系的重要组成部分。系的重要组成部分。IDS系系统统以以后后台台进进程程的的形形式式运运行行。发发现现可可疑疑情情况况,立立即即通通知知有有关关人员。人员。6防防火火墙墙为为网网络络提提供供了了第第一一道道防防线线,入入侵侵检检测测被被认认为为是是防防火火墙墙之之后后的的第第二二道道安安全全闸闸门门,在在不不影影响响网网络络
7、性性能能的的情情况况下下对对网网络络进进行行检检测测,从从而而提提供供对对内内部部攻攻击击、外外部部攻攻击击和和误误操操作作的的实实时时保保护护。由由于于入入侵侵检检测测系系统统是是防防火火墙墙后后的的又又一一道道防防线线,从从而而可可以以极大地减少网络免受各种攻击的损害。极大地减少网络免受各种攻击的损害。假假如如说说防防火火墙墙是是一一幢幢大大楼楼的的门门锁锁,那那入入侵侵检检测测系系统统就就是是这这幢幢大大楼楼里里的的监监视视系系统统。门门锁锁可可以以防防止止小小偷偷进进入入大大楼楼,但但不不能能保保证证小小偷偷100地地被被拒拒之之门门外外,更更不不能能防防止止大大楼楼内内部部个个别别人
8、人员员的的不不良良企企图图。而而一一旦旦小小偷偷爬爬窗窗进进入入大大楼楼,或或内内部部人人员员有有越越界界行行为为,门门锁锁就就没没有有任任何何作作用用了了,这这时时,只只有有实实时时监监视视系系统统才才能能发发现现情情况况并并发发出出警警告告。入入侵侵检检测测系系统统不不仅仅仅仅针针对对外外来来的的入入侵侵者者,同时也针对内部的入侵行为。同时也针对内部的入侵行为。76.1.2 入侵检测系统的特点入侵检测系统的特点 对对一一个个成成功功的的入入侵侵检检测测系系统统来来讲讲,它它不不但但可可使使系系统统管管理理员员时时刻刻了了解解网网络络系系统统(包包括括程程序序、文文件件和和硬硬件件设设备备等
9、等)的的任任何何变变更更,还还能能给给网网络络安安全全策策略略的的制制订订提提供供指指南南。更更为为重重要要的的一一点点是是,它它应应该该具具有有管管理理方方便便、配配置置简简单单的的特特性性,从从而而使使非非专专业业人人员员非非常常容容易易地地管管理理网网络络安安全全。而而且且,入入侵侵检检测测的的规规模模还还应应根根据据网网络络威威胁胁、系系统统构构造造和和安安全全需需求求的的改改变变而而改改变变。入入侵侵检检测测系系统统在在发发现现入入侵侵后后,会会及及时时做做出出响响应应,包包括括切切断断网网络络连连接接、记记录录事事件件和和报报警警等等。因因此此,一一个个好好的的入入侵侵检检测测系系
10、统统应应具具有如下特点:有如下特点:8 a.不需要人工干预即可不间断地运行。不需要人工干预即可不间断地运行。 b.有有容容错错功功能能。即即使使系系统统发发生生了了崩崩溃溃,也也不不会会丢丢失失数数据据,或者在系统重新启动时重建自己的知识库。或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。不需要占用大量的系统资源。 d.能能够够发发现现异异于于正正常常行行为为的的操操作作。如如果果某某个个IDS系系统统使使系系统由统由“跑跑”变成了变成了“爬爬”,就不要考虑使用。,就不要考虑使用。9 e.能能够够适适应应系系统统行行为为的的长长期期变变化化。例例如如系系统统中中增增加加了
11、了一一个个新新的的应应用用软软件件,系系统统写写照照就就会会发发生生变变化化,IDS必必须须能能适适应应这种变化。这种变化。 f.判判断断准准确确。相相当当强强的的坚坚固固性性,防防止止被被篡篡改改而而收收集集到到错错误的信息。误的信息。 g.灵活定制。解决方案必须能够满足用户要求。灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。保持领先。能及时升级。106.1.3 入侵行为的误判入侵行为的误判 入入侵侵行行为为判判断断的的准准确确性性是是衡衡量量IDS是是否否高高效效的的重重要要技技术术指指标标,因因为为,IDS系系统统很很容容易易出出现现判判断断失失误误,这这些些判判断
12、断失失误误分分为:正误判、负误判和失控误判三类。为:正误判、负误判和失控误判三类。 1.1.正误判正误判( (falsepositivefalsepositive) ) 概念:概念:把一个合法操作判断为异常行为。把一个合法操作判断为异常行为。 特特点点:导导致致用用户户不不理理会会IDS的的报报警警,类类似似于于“狼狼来来了了”的的后后果果,使使得得用用户户逐逐渐渐对对IDS的的报报警警淡淡漠漠起起来来,这这种种“淡淡漠漠”非常危险,将使非常危险,将使IDS形同虚设。形同虚设。11 2.负误判负误判(fasenegative) 概概念念:把把一一个个攻攻击击动动作作判判断断为为非非攻攻击击行行
13、为为,并并允允许许其其通通过检测。过检测。 特特点点:背背离离了了安安全全防防护护的的宗宗旨旨,IDS系系统统成成为为例例行行公公事事,后果十分严重。后果十分严重。 3.失控误判失控误判(subversion) 概概念念:攻攻击击者者修修改改了了IDS系系统统的的操操作作,使使它它总总是是出出现现负负误误判的情况。判的情况。 特特点点:不不易易觉觉察察,长长此此以以往往,对对这这些些“合合法法”操操作作IDS将将不会报警。不会报警。126.2 入侵检测的主要技术一入侵分析技术入侵检测的主要技术一入侵分析技术入侵分析技术主要有三大类:入侵分析技术主要有三大类:签名、统计及数据完整性。签名、统计及
14、数据完整性。136.2.1 签名分析法签名分析法 签签名名分分析析法法主主要要用用来来检检测测有有无无对对系系统统的的己己知知弱弱点点进进行行的的攻攻击击行行为为。这这类类攻攻击击可可以以通通过过监监视视有有无无针针对对特特定定对对象象的的某某种种行为而被检测到。行为而被检测到。 主主要要方方法法:从从攻攻击击模模式式中中归归纳纳出出其其签签名名,编编写写到到IDS系系统统的的代代码码里里,再再由由IDS系系统统对对检检测测过过程程中中收收集集到到的的信信息息进进行行签名分析。签名分析。 签签名名分分析析实实际际上上是是一一个个模模板板匹匹配配操操作作,匹匹配配的的一一方方是是系系统统设设置置
15、情情况况和和用用户户操操作作动动作作,一一方方是是已已知知攻攻击击模模式式的的签签名名数数据库。据库。146.2.2 统计分析法统计分析法 统统计计分分析析法法是是以以系系统统正正常常使使用用情情况况下下观观察察到到的的动动作作为为基基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。 主主要要方方法法:首首先先根根据据被被检检测测系系统统的的正正常常行行为为定定义义出出一一个个规规律律性性的的东东西西,在在此此称称为为“写写照照”,然然后后检检测测有有没没有有明明显显偏偏离离“写照写照”的行为。的行为。 统统计计分分析析法法的的理理论论基
16、基础础是是统统计计学学,此此方方法法中中,“写写照照”的确定至关重要。的确定至关重要。156.2.3 数据完整性分析法数据完整性分析法 数数据据完完整整性性分分析析法法主主要要用用来来查查证证文文件件或或对对象象是是否否被被修修改改过,它的理论基础是密码学。过,它的理论基础是密码学。 上上述述分分析析技技术术在在IDS中中会会以以各各种种形形式式出出现现,把把这这些些方方法法组组合合起起来来使使用用,互互相相弥弥补补不不足足是是最最好好的的解解决决方方案案,从从而而在在IDS系系统统内内部部实实现现多多层层次次、多多手手段段的的入入侵侵检检测测功功能能。如如签签名名分析方法没有发现的攻击可能正
17、好被统计分析方法捕捉到。分析方法没有发现的攻击可能正好被统计分析方法捕捉到。166.3 入侵检测系统的主要类型入侵检测系统的主要类型6.3.1 应应 用用 软软 件件 入入 侵侵 检检 测测 (Application Intrusion Detection) 1. 1.概念概念 在应用软件级收集信息。在应用软件级收集信息。 2.优点优点 控制性好控制性好具有很高的可控性。具有很高的可控性。 3.缺点缺点 a.需要支持的应用软件数量多;需要支持的应用软件数量多;18 b.只只能能保保护护一一个个组组件件针针对对软软件件的的IDS系系统统只只能能对对特特定的软件进行分析,系统中其他的组件不能得到保
18、护。定的软件进行分析,系统中其他的组件不能得到保护。 网网络络入入侵侵检检测测系系统统(IDS)可可以以分分为为基基于于网网络络数数据据包包分分析析的的和和基基于于主主机机的的两两种种基基本本方方式式。简简单单说说,前前者者在在网网络络通通信信中中寻寻找找符符合合网网络络入入侵侵模模版版的的数数据据包包,并并立立即即做做出出相相应应反反应应;后后者者在在宿宿主主系系统统审审计计日日志志文文件件中中寻寻找找攻攻击击特特征征,然然后后给给出出统统计计分析报告。它们各有优缺点,互相作为补充。分析报告。它们各有优缺点,互相作为补充。196.3.2基于主机的入侵检测基于主机的入侵检测(Host Intr
19、usion Detection) 1.1.概念概念 基基于于主主机机的的入入侵侵检检测测始始于于20世世纪纪80年年代代早早期期,通通常常采采用用查查看看针针对对可可疑疑行行为为的的审审计计记记录录来来执执行行。它它对对新新的的记记录录条条目目与与攻攻击击特特征征进进行行比比较较,并并检检查查不不应应该该被被改改变变的的系系统统文文件件的的校校验验和和来来分分析析系系统统是是否否被被侵侵入入或或者者被被攻攻击击。如如果果发发现现与与攻攻击击模模式式匹匹配配,IDS系系统统通通过过向向管管理理员员报报警警和和其其他他呼呼叫叫行行为为来来响响应应。它它的的主主要要目目的的是是在在事事件件发发生生后
20、后提提供供足足够够的的分分析析来来阻阻止止进进一一步步的的攻攻击击。反反应应的的时时间间依依赖赖于于定定期期检检测测的的时时间间间间隔隔。实实时时性性没没有基于网络的有基于网络的IDS系统好。系统好。20 2.优点优点 基于主机的入侵检测具有以下优势:基于主机的入侵检测具有以下优势: a.监监视视所所有有系系统统行行为为。基基于于主主机机的的IDS能能够够监监视视所所有有的的用用户户登登录录和和退退出出,甚甚至至用用户户所所做做的的所所有有操操作作,审审计计系系统统在在日日志志里里记记录录的的策策略略改改变变,监监视视关关键键系系统统文文件件和和可可执执行行文文件件的的改改变变等等。可可以以提
21、提供供比比基基于于网网络络的的IDS更更为为详详细细的的主主机机内内部部活活动动信信息。息。 b.有有些些攻攻击击在在网网络络的的数数据据流流中中很很难难发发现现,或或者者根根本本没没有有通过网络在本地进行。这时基于网络的通过网络在本地进行。这时基于网络的IDS系统将无能为力。系统将无能为力。21 c.适适应应交交换换和和加加密密。基基于于主主机机的的IDS系系统统可可以以较较为为灵灵活活地地配配置置在在多多个个关关键键主主机机上上,不不必必考考虑虑交交换换和和网网络络拓拓扑扑问问题题。这这对对关关键键主主机机零零散散地地分分布布在在多多个个网网段段上上的的环环境境特特别别有有利利。某某些些类
22、类型型的的加加密密也也是是对对基基于于网网络络的的入入侵侵检检测测的的挑挑战战。依依靠靠加加密密方方法法在在协协议议堆堆栈栈中中的的位位置置,它它可可能能使使基基于于网网络络的的系系统统不不能能判判断断确切的攻击。基于主机的确切的攻击。基于主机的IDS没有这种限制。没有这种限制。 d.不不要要求求额额外外的的硬硬件件。基基于于主主机机的的IDS配配置置在在被被保保护护的的网络设备中,不要求在网络上增加额外的硬件。网络设备中,不要求在网络上增加额外的硬件。22 3.缺点缺点 a.看不到网络活动的状况。看不到网络活动的状况。 b.运行审计功能要占用额外系统资源。运行审计功能要占用额外系统资源。 C
23、.主机监视感应器对不同的平台不能通用。主机监视感应器对不同的平台不能通用。 d.管理和实施比较复杂。管理和实施比较复杂。236.3.3 基于网络的入侵检测基于网络的入侵检测(NetworkIntrusionDetection) 1.1.概念概念 基基于于网网络络的的入入侵侵检检测测系系统统使使用用原原始始的的裸裸网网络络包包作作为为源源。利利用用工工作作在在混混杂杂模模式式下下的的网网卡卡实实时时监监视视和和分分析析所所有有的的通通过过共共享享式式网网络络的的传传输输。当当前前,部部分分产产品品也也可可以以利利用用交交换换式式网网络络中中的的端端口口映映射射功功能能来来监监视视特特定定端端口口
24、的的网网络络入入侵侵行行为为。一一旦旦攻攻击击被被检检测测到到,响响应应模模块块将将按按照照配配置置对对攻攻击击做做出出反反应应。这这些些反反应应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。 2.优点优点 基于网络的入侵检测系统具有以下几方面的优势:基于网络的入侵检测系统具有以下几方面的优势:24 a.基基于于网网络络的的ID技技术术不不要要求求在在大大量量的的主主机机上上安安装装和和管管理理软软件件,允允许许在在重重要要的的访访问问端端口口检检查查面面向向多多个个网网络络系系统统的的流流量量。在在一一个个网网段段只只需需要要安安
25、装装一一套套系系统统,则则可可以以监监视视整整个个网网段段的的通通信,因而花费较低。信,因而花费较低。 b.基基于于主主机机的的IDS不不查查看看包包头头,因因而而会会遗遗漏漏一一些些关关键键信信息息,而而基基于于网网络络的的IDS检检查查所所有有的的包包头头来来识识别别恶恶意意和和可可疑疑行行为为。例例如如,许许多多拒拒绝绝服服务务攻攻击击(DoS)只只能能在在它它们们通通过过网网络络传传输输时检查包头信息才能识别。时检查包头信息才能识别。25 c.基基于于网网络络IDS的的宿宿主主机机通通常常处处于于比比较较隐隐蔽蔽的的位位置置,基基本本上上不不对对外外提提供供服服务务,因因此此也也比比较
26、较坚坚固固。这这样样对对于于攻攻击击者者来来说说,消消除除攻攻击击证证据据非非常常困困难难。捕捕获获的的数数据据不不仅仅包包括括攻攻击击方方法法,还还包包括括可可以以辅辅助助证证明明和和作作为为起起诉诉证证据据的的信信息息。而而基基于于主主机机IDS的数据源则可能已经被精通审计日志的黑客篡改。的数据源则可能已经被精通审计日志的黑客篡改。 d.基基于于网网络络的的IDS具具有有更更好好的的实实时时性性。例例如如,它它可可以以在在目目标标主主机机崩崩溃溃之之前前切切断断TCP连连接接,从从而而达达到到保保护护的的目目的的。而而基基于于主主机机的的系系统统是是在在攻攻击击发发生生之之后后,用用于于防
27、防止止攻攻击击者者的的进进一一步攻击。步攻击。26 e.检检测测不不成成功功的的攻攻击击和和恶恶意意企企图图。基基于于网网络络的的IDS可可以以检检测测到到不不成成功功的的攻攻击击企企图图,而而基基于于主主机机的的系系统统则则可可能能会会遗遗漏漏一一些重要信息。些重要信息。 f.基于网络的基于网络的IDS不依赖于被保护主机的操作系统。不依赖于被保护主机的操作系统。 3.缺点缺点 a.对加密通信无能为力。对加密通信无能为力。 b.对高速网络无能为力。对高速网络无能为力。 c.不能预测命令的执行后果。不能预测命令的执行后果。276.3.4 集成入侵检测集成入侵检测(Integrated Intru
28、sion Detection) 1.1.概念概念 综合了上面介绍的几种技术的入侵检测方法。综合了上面介绍的几种技术的入侵检测方法。 2.优点优点 a.具有每一种检测技术的优点,并试图弥补各自的不足。具有每一种检测技术的优点,并试图弥补各自的不足。 b.趋趋势势分分析析能能够够更更容容易易看看清清长长期期攻攻击击和和跨跨网网络络攻攻击击的的模式。模式。 C.稳定性好。稳定性好。 d.节节约约成成本本-购购买买集集成成化化解解决决方方案案相相对对于于分分别别购购买买独独立立组组件的解决方案,可节约开支。件的解决方案,可节约开支。 3.缺点缺点 a.在安防问题上不思进取。在安防问题上不思进取。 b.
29、把不同供应商的组件集成在一起较困难。把不同供应商的组件集成在一起较困难。286.4 入侵检测系统的优点和不足入侵检测系统的优点和不足296.4.1 入侵测系统的优点入侵测系统的优点 入侵检测系统能够增强网络的安全性,它的优点:入侵检测系统能够增强网络的安全性,它的优点:p 能够使现有的安防体系更完善;能够使现有的安防体系更完善;p 能够更好地掌握系统的情况;能够更好地掌握系统的情况;p 能够追踪攻击者的攻击线路;能够追踪攻击者的攻击线路;p 界面友好,便于建立安防体系;界面友好,便于建立安防体系;p 能够抓住肇事者。能够抓住肇事者。306.4.2 入侵检测系统的不足入侵检测系统的不足入侵检测系
30、统不是万能的,它同样存在许多不足之处:入侵检测系统不是万能的,它同样存在许多不足之处:p 不能够在没有用户参与的情况下对攻击行为展开调查;不能够在没有用户参与的情况下对攻击行为展开调查;p 不能够在没有用户参与的情况下阻止攻击行为的发生;不能够在没有用户参与的情况下阻止攻击行为的发生;p 不能克服网络协议方面的缺陷;不能克服网络协议方面的缺陷;p 不能克服设计原理方面的缺陷;不能克服设计原理方面的缺陷;p 响响应应不不够够及及时时,签签名名数数据据库库更更新新得得不不够够快快。经经常常是是事事后后才才检测到,适时性不好。检测到,适时性不好。316.5 带入侵检测功能的网络体系结构带入侵检测功能
31、的网络体系结构 由由前前述述可可知知,入入侵侵检检测测系系统统能能做做什什么么,不不能能做做什什么么;至至于于它它在在网网络络体体系系结结构构的的位位置置,很很大大程程度度上上取取决决于于使使用用IDS的的目目的的。它它既既可可以以放放在在防防火火墙墙前前面面,部部署署一一个个网网络络IDS,监监视视以以整整个个内内部部网网为为目目标标的的攻攻击击,又又可可以以在在每每个个子子网网上上都都放放置置网网络感应器,监视网络上的一切活动。络感应器,监视网络上的一切活动。 网络网络IDS参见下页图所示:参见下页图所示:32IDS部署示意部署示意InternetIDS 1IDS 2IDS 3IDS 4子
32、网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器含含HIDS的网络体系结构的网络体系结构336.6入侵检测系统的发展入侵检测系统的发展 入入侵侵检检测测系系统统的的发发展展方方向向是是攻攻击击防防范范技技术术和和更更好好的的攻攻击击识识别别技技术术,也也就就是是入入侵侵防防范范技技术术。当当系系统统遇遇到到进进攻攻时时设设法法把把它化解掉,让网络和系统还能正常运转。它化解掉,让网络和系统还能正常运转。 抗入侵解决方案具有以下几方面的优势:抗入侵解决方案具有以下几方面的优势:l 对入侵做出主动的反映;对入侵做出主动的反映;l 不再完全依赖于签名数据库,
33、易于管理;不再完全依赖于签名数据库,易于管理;l 追追求求的的目目标标是是在在攻攻击击对对系系统统造造成成真真正正的的危危害害之之前前将将它它们们化化解掉;解掉;34 对攻击展开的跟踪调查随时都可以进行;对攻击展开的跟踪调查随时都可以进行; 极极大大地地改改善善了了IDS系系统统的的易易用用性性,减减轻轻了了主主机机安安防防在在系系统统管管理理方面的压力。方面的压力。 由由于于IDS的的局局限限性性,市市场场上上又又出出现现了了IDP (Intrusion Detection Prevention) 产产品品。当当前前的的IDP产产品品可可以以认认为为是是IDS系系统统的的替替代代品品。与与I
34、DS相相比比,IDP最最大大的的特特点点在在于于它它不不但但能能检检测测到到入入侵侵行行为为的的发发生生,而而且且有有能能力力中中止止入入侵侵活活动动的的进进行行;并并且且IDP能能够够从从不不断断更更新新的的模模式式库库中中发发现现各各种种各各样样新新的的入入侵侵方法,从而做出更智能的保护性操作,并减少漏报和误报。方法,从而做出更智能的保护性操作,并减少漏报和误报。356.7 入侵检测产品入侵检测产品 常见的入侵检测产品有:常见的入侵检测产品有:l Cisco System:NetRanger;l NetworkAssociate:CyberCop;l InternetSecuritySystem:RealSecure;l IntrusionDetection:KaneSecurityMonitor;l AxentTechnologies:OmniGuard/IntruderAlert;l 中科网威:天眼;中科网威:天眼;l 启明星辰:启明星辰:SkyBell。36第第6章结束!章结束!37
