入侵检测系统(IDS)
- 格式:ppt
- 大小:762.50 KB
- 文档页数:43


入侵检测系统 赛迪评测 CC,D实践理性至上
(I D S)横向测试报告
赛迪评测网络安全实验室 何军高国栋程文静
入侵检测是近几年顺应网络安全需求发展起来的新兴技术,入侵检测系统作为网络安全标 准配置的三大安全产品之一,在近一年有了较快的发展。赛迪评测在进行了长达8个月的技术 研究的基础上,组织了入侵检测系统的横向测试,目的是对国内市场上主流入侵检测系统技术 和产品进行全方位的分析和评估,为用户选购和使用入侵检测系统产品提供客观的参考依据。 “赛迪评测”授权本刊独家刊登“入侵检测系统(IDS)横向测试报告”,本期全文刊登本 次评测报告。在本次入侵检测系统的横向测试中的获奖产品在产品橱窗中加以介绍,敬请读者 关注
入侵检测系统是近年来才发展起 来的技术。通常,入侵检测系统分为两 种,一种基于主机(HIDS),另一种基 于网络( IDS)。NIDS探测器检测通 过网段的所有数据包,对包含攻击特 征或可疑的异常行为做出响应。传统 上,NIDS是具有NIDS特征过滤器的 混杂模式包嗅探器。今天,NIDS具有 更高的智能性,能够进行协议分析和 状态保持,并具有良好的网络性能。
活动背景
网络安全的研究发展到了现在, 任何单一类型的安全产品都不能很好地 解决网络安全问题。当越来越多的公司 将其核心业务转向互联网的时候,网络 安全作为一个无法回避的问题摆在人们 面前,入侵检测就是顺应这种网络安全 需求发展起来的一种新兴技术。 从目前网络安全的角度及现有网 络架构来看,解决网络安全问题首选 是防火墙,因为防火墙能够有效阻止 外部网络的入侵。但随着攻击者水平 的提高,攻击工具与手法的日趋多样, 单纯的防火墙策略控制已经无法满足 网络安全的需求。因此,网络安全的防 护也必然向一种纵深、多样的方向发 展。同时,当今的网络环境也变得越来 越复杂,网络管理员不经意的疏忽有 可能造成安全的重大隐患。 在这种环境下,入侵检测系统的 应用就受到人们的关注,只有采用多 种类型的安全产品共同协作,以多个 层次进行安全防护,才能在一定程度 上达到安全防护的效果,形成整体纵 深的安全防护体系。但是,什么样的入 侵检测系统能够为用户解决安全问题 提供帮助,如何评价一款入侵检测系 统的优劣,入侵检测系统如何与其他 网络安全产品共同协作,却是用户非 常关心的问题。 入侵检测系统作为网络安全标准 配置的三大安全产品之一,与防火墙、 防病毒产品相比起步较晚。特别是在 近一年才有了较快的发展,开发入侵 检测系统的厂商也如雨后春笋般发展 起来。据赛迪评测不完全统计,目前在 国内市场上共有52款不同厂家的入侵 检测产品。由于入侵检测系统的研发 在技术投入方面的要求相对较高,不 同实力的厂商所生产的产品的品质差 异较大,不通过技术手段,用户很难做 出正确的选择, 赛迪评测也正是基于这样的目 的,针对用户的这些需求,在进行了长 达8个月的技术研究的基础上,组织了 这次入侵检测系统的横向测试,目的 是对国内市场上主流入侵检测系统技 术和产品进行全方位的分析和评估, 为用户选购和使用入侵检测系统产品 提供客观的参考依据。
IDS入侵检测及对数据库系统的应用
摘要IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。通过对IDS的研究应用到数据库系统,对数据库进行数据分析。
关键词入侵检测;数据库系统;IDS
入侵检测技术是近20年来出现的一种主动保护自己以免受入侵者攻击的网络安全技术在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。
传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数据库安全的目的。
1入侵检测原理
1)什么是入侵检测系统。入侵检测系统(Intrusion Detection System)以后简称IDS就是对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源、记录、并通过各种途径通知网络管理员,最大幅度地保障系统,是的合理
补充,帮助系统对付网络攻击,扩展系统管理员的管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,被认为是之后的第二道安 全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。如果说防火墙是一栋大楼的门锁,那IDS就是这栋大楼的监视系统。
2)入侵检测系统的作用。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
COMPUTING SECURITY TECHNIQUES 计算机安全技术 校园网入侵检测系统(IDS)的研究与设计 漆震云 。黄雅琼 (1.江西师范大学,南昌330101;2.江西旅游商贸职业学院,南昌330101) 摘要:重点从系统结构、检测技术、管理策略、维护安全等层面上提出并实现新的入侵检测方法,以适应校园网 的入侵检测要求。系统采用代理控制中心对各个代理的报警统一管理,各个代理具有一定的自治性,可单独使用; 系统采用了一定的状态检查方法,以保证整个系统自身的安全;系统的实验原型在Windows操作系统环境下实现, 但系统的结构不受操作系统所限。 关键词:入侵检测;分布式;安全防护;防火墙 Campus Network Intrusion Detection System Research and Design QI e l ,I-IIJANG Ya (1.Jiangxi Teachers University,Nanchang 3300101;2.Jiangxi Tourism Commerce College,Nanchang 330101) Abstract:Paper focuses Oil the structure from the system,detection technology,management strategies,such as the level of defend security iS proposed and implemented new methods of intrusion detection in order to adapt to the campus network in— trusion detection requirements.System control center agent for each unified management of the police,each agent has a cer— tain degree of autonomy,and can be used alone.In addition.the system checks the status of a certain method to ensure the safety of system itself.An experimental prototype system in the Windows system environment to achieve,but the structure of the system iS not limited by the operating system. Key words:IDS:Distributed:security protect:firewall 1 引言 校园网的特点是用户流量大、上网时间长、在线用户比 率高、网络应用多、相关的教学任务应用比较集中。这种情 况下,校园网络面临着许多安全方面的威胁: (1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有 发生。 (2)病毒和蠕虫,在高速大容量的局域网络中,各种病 毒和蠕虫,不论新旧都很容易通过用户下载或有漏洞的系统 迅速传播扩散。 (3)滥用网络资源,在校园网中总会出现滥用带宽等资 源以致影响其他用户甚至整个网络正常使用的行为。 在以上安全威胁面前,服务于校园网的入侵检测系统 (Intrusion Detection System,IDS)必须满足以下需求: (1) 分布式结构:由分布在网络中的监测代理收集数据,然后汇 总统一处理结果,这也是各IDS在大规模网络中唯一可行的 实用方法; (2)误用检测功能:误用检测仍是现在IDS应用 的主流。误用检测系统性能好坏的关键就在其特征库是否完 备; (3)异常检测功能; (4)攻击源追踪。 2 IDS 入侵监测系统(Intrusion Detection System—IDS)是一种自 动监测信息系统内外入侵的安全设备。IDS通过对计算机网络 或计算机系统中的若干关键点的信息收集和信息分析,从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹 象,并实时做出安全响应。IDS按其布置的位置分为:基于网 络的NIDS和基于主机的HIDS两种类型。 IDS不间断地从计算机网络或计算机系统中的若干关键点 上收集信息,集中或分布地分析信息,判断来自网络内部和 外部的入侵企图,并实时发出报警,为反击入侵提供依据。 IDS的主要任务是: (1)收集、监视、分析用户及系统的信息活动。 (2)按已知入侵模式识别入侵行为,并及时发出报警信息。 (3)对异常行为模式进行统计分析。 (4)评估重要系统和数据文件的完整性。 (5)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。 (6)审计系统构造和弱点。 3 系统设计 近年来,网络规模急剧增大,校园网络的应用水平也在 不断提高,由过去的浏览校园网介绍转换为做各种教学服务, 教学成绩查询、选课、OA办公等等。规模的壮大和应用水平 的提高就决定了校园网面临的隐患也相应加剧,逐渐成为黑 客攻击的热门目标。 防火墙与入侵检测系统IDS各有优缺点,通过IDS配合 原有的防火墙,进行防护,建立快速反应机制,将IDS与防 火墙结合互动使用,并且设计了一种针对这种互动的基于校 园网的安全模型,对该安全模型的重要组成部分:建立特征 库以及IDS与防火墙的接口设计进行了重点研究。 IDS采用引擎/控制台结构。引擎在系统的各个关键点部 作者简介:漆震云(1979一),男,硕士研究生。 收稿日期:2010—07—12
信息技术 《西藏科技》2O1O年1期(总第202期)
入侵检测系统(IDS)的作用 常康张久华 (西藏自治区科技信息研究所,西藏拉萨850001) 摘 要:本文介绍了什么叫IDS以及IDS的工作方式和它的选用及配置,并简要介绍了其应用。 关键词:IDS非法入侵 网络系统 系统漏洞 网络平台 中图分类号:TP393.08 1 IDS简介 网络非法入侵的增长,使得网络安全显得格外重 要。20世纪80年代初,网络入侵者常常是单独使用 自己编写的工具来人侵网络,而现在的入侵者却经常 使用一些通用工具进行非法入侵且多为众人协同合 作。这些破坏性的入侵可能在瞬间摧毁系统,因而对 网络系统的安全性提出了挑战。 入侵检测系统(Intrusion Detection System,IDS)是 进行入侵检测的软件与硬件的组合。他利用计算机网 络或系统中的若干关键点采集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和 被攻击的迹象,进而对计算机网络或系统进行有效的 安全保护,1987年,Dorothy Denning在“入侵检测模 型”一文中完整的提出了系统模型和功能的基本框 架,他是目前很多入侵检测系统的理论基础。 要了解入侵检测系统的主要目标,首先必须了解 入侵过程中入侵者和被入侵者所关心的不同侧重点。 入侵者关心的是入侵的意图和行动的危险性有多大, 他们希望了解系统漏洞、入侵工具、入侵可能产生什么 样的破坏等问题。反之,被入侵者则显得比较被动,他 们只能从系统出现的异常现象来发现入侵。但是,异 常的产生也可能来源于系统内部;另一方面,人侵可能 不会产生比较明显的系统异常。这种情况下,被人侵 者更加希望解决的是系统发生了什么变化、入侵者是 谁、为什么会被人侵等疑团。正是鉴于上述原因,决定 了入侵检测系统的根本目标是主动地检测入侵是否发 生,同时记录入侵的破坏过程,并避免错误报警。 2 IDS的工作方式 入侵检测系统的工作方式是对整个网络使用软件 监视,分析各用户和系统的活动,寻找可疑通信,并及 70 时进行记录和分析。网络管理员可以通过控制台程序 控制入侵检测系统的工作,接收系统发出的警报并做 出相应响应。 根据所检测的对象不同,可以分为基于信号检测 的系统和基于异常检测的系统。基于信号的检测系统 主要是检测网络通信中的可疑信号与通信内容,与可 能发生的攻击信号进行匹配,据此来判断是否有入侵 发生。其缺点是,如果不能对每种攻击的信号都有准 确的抽象和匹配,就无法检测入侵。基于异常的检测 系统则捕获系统发生的种种异常,根据所记录的入侵 与其所引发的特征性异常现象的对应关系的匹配,来 判断是否发生入侵。 入侵检测系统还可分为基于网络和基于主机两 种。基于网络的入侵检测系统使用原始的网络分组数 据包作为进行攻击分析的数据源。一旦检测到攻击, 应答模块通过通知、报警以及中断连接等方式来对攻 击做出反应。其缺点在于,随着网络配置的不同,运行 效率有很大起伏。基于主机的入侵检测系统监视操作 系统上的系统、事件、安全日志,其在应用层上的检用 系统资源,同时配置复杂,一旦被攻破,造成的损害性 亦很大,因此应用上不如基于网络的IDS广泛。 3 IDS的选用与配置 究竟选用何种入侵检测系统取决于具体的安全要 求以及系统自身特点。准备使用入侵检测系统的机 构,应了解究竟有哪些信息需要保护,保护的级别如 何,可能的威胁来自于哪里等问题。入侵检测技术只 是众多网络防护措施中的一种,不可能期望仅依赖于 它就达到预期的安全性要求。 实时而有效的防护在于建立“保护深度”,即建立 有层次、