入侵检测系统(IDS)精品PPT课件
- 格式:pptx
- 大小:808.91 KB
- 文档页数:44


入侵检测系统 赛迪评测 CC,D实践理性至上
(I D S)横向测试报告
赛迪评测网络安全实验室 何军高国栋程文静
入侵检测是近几年顺应网络安全需求发展起来的新兴技术,入侵检测系统作为网络安全标 准配置的三大安全产品之一,在近一年有了较快的发展。赛迪评测在进行了长达8个月的技术 研究的基础上,组织了入侵检测系统的横向测试,目的是对国内市场上主流入侵检测系统技术 和产品进行全方位的分析和评估,为用户选购和使用入侵检测系统产品提供客观的参考依据。 “赛迪评测”授权本刊独家刊登“入侵检测系统(IDS)横向测试报告”,本期全文刊登本 次评测报告。在本次入侵检测系统的横向测试中的获奖产品在产品橱窗中加以介绍,敬请读者 关注
入侵检测系统是近年来才发展起 来的技术。通常,入侵检测系统分为两 种,一种基于主机(HIDS),另一种基 于网络( IDS)。NIDS探测器检测通 过网段的所有数据包,对包含攻击特 征或可疑的异常行为做出响应。传统 上,NIDS是具有NIDS特征过滤器的 混杂模式包嗅探器。今天,NIDS具有 更高的智能性,能够进行协议分析和 状态保持,并具有良好的网络性能。
活动背景
网络安全的研究发展到了现在, 任何单一类型的安全产品都不能很好地 解决网络安全问题。当越来越多的公司 将其核心业务转向互联网的时候,网络 安全作为一个无法回避的问题摆在人们 面前,入侵检测就是顺应这种网络安全 需求发展起来的一种新兴技术。 从目前网络安全的角度及现有网 络架构来看,解决网络安全问题首选 是防火墙,因为防火墙能够有效阻止 外部网络的入侵。但随着攻击者水平 的提高,攻击工具与手法的日趋多样, 单纯的防火墙策略控制已经无法满足 网络安全的需求。因此,网络安全的防 护也必然向一种纵深、多样的方向发 展。同时,当今的网络环境也变得越来 越复杂,网络管理员不经意的疏忽有 可能造成安全的重大隐患。 在这种环境下,入侵检测系统的 应用就受到人们的关注,只有采用多 种类型的安全产品共同协作,以多个 层次进行安全防护,才能在一定程度 上达到安全防护的效果,形成整体纵 深的安全防护体系。但是,什么样的入 侵检测系统能够为用户解决安全问题 提供帮助,如何评价一款入侵检测系 统的优劣,入侵检测系统如何与其他 网络安全产品共同协作,却是用户非 常关心的问题。 入侵检测系统作为网络安全标准 配置的三大安全产品之一,与防火墙、 防病毒产品相比起步较晚。特别是在 近一年才有了较快的发展,开发入侵 检测系统的厂商也如雨后春笋般发展 起来。据赛迪评测不完全统计,目前在 国内市场上共有52款不同厂家的入侵 检测产品。由于入侵检测系统的研发 在技术投入方面的要求相对较高,不 同实力的厂商所生产的产品的品质差 异较大,不通过技术手段,用户很难做 出正确的选择, 赛迪评测也正是基于这样的目 的,针对用户的这些需求,在进行了长 达8个月的技术研究的基础上,组织了 这次入侵检测系统的横向测试,目的 是对国内市场上主流入侵检测系统技 术和产品进行全方位的分析和评估, 为用户选购和使用入侵检测系统产品 提供客观的参考依据。
COMPUTING SECURITY TECHNIQUES 计算机安全技术 校园网入侵检测系统(IDS)的研究与设计 漆震云 。黄雅琼 (1.江西师范大学,南昌330101;2.江西旅游商贸职业学院,南昌330101) 摘要:重点从系统结构、检测技术、管理策略、维护安全等层面上提出并实现新的入侵检测方法,以适应校园网 的入侵检测要求。系统采用代理控制中心对各个代理的报警统一管理,各个代理具有一定的自治性,可单独使用; 系统采用了一定的状态检查方法,以保证整个系统自身的安全;系统的实验原型在Windows操作系统环境下实现, 但系统的结构不受操作系统所限。 关键词:入侵检测;分布式;安全防护;防火墙 Campus Network Intrusion Detection System Research and Design QI e l ,I-IIJANG Ya (1.Jiangxi Teachers University,Nanchang 3300101;2.Jiangxi Tourism Commerce College,Nanchang 330101) Abstract:Paper focuses Oil the structure from the system,detection technology,management strategies,such as the level of defend security iS proposed and implemented new methods of intrusion detection in order to adapt to the campus network in— trusion detection requirements.System control center agent for each unified management of the police,each agent has a cer— tain degree of autonomy,and can be used alone.In addition.the system checks the status of a certain method to ensure the safety of system itself.An experimental prototype system in the Windows system environment to achieve,but the structure of the system iS not limited by the operating system. Key words:IDS:Distributed:security protect:firewall 1 引言 校园网的特点是用户流量大、上网时间长、在线用户比 率高、网络应用多、相关的教学任务应用比较集中。这种情 况下,校园网络面临着许多安全方面的威胁: (1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有 发生。 (2)病毒和蠕虫,在高速大容量的局域网络中,各种病 毒和蠕虫,不论新旧都很容易通过用户下载或有漏洞的系统 迅速传播扩散。 (3)滥用网络资源,在校园网中总会出现滥用带宽等资 源以致影响其他用户甚至整个网络正常使用的行为。 在以上安全威胁面前,服务于校园网的入侵检测系统 (Intrusion Detection System,IDS)必须满足以下需求: (1) 分布式结构:由分布在网络中的监测代理收集数据,然后汇 总统一处理结果,这也是各IDS在大规模网络中唯一可行的 实用方法; (2)误用检测功能:误用检测仍是现在IDS应用 的主流。误用检测系统性能好坏的关键就在其特征库是否完 备; (3)异常检测功能; (4)攻击源追踪。 2 IDS 入侵监测系统(Intrusion Detection System—IDS)是一种自 动监测信息系统内外入侵的安全设备。IDS通过对计算机网络 或计算机系统中的若干关键点的信息收集和信息分析,从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹 象,并实时做出安全响应。IDS按其布置的位置分为:基于网 络的NIDS和基于主机的HIDS两种类型。 IDS不间断地从计算机网络或计算机系统中的若干关键点 上收集信息,集中或分布地分析信息,判断来自网络内部和 外部的入侵企图,并实时发出报警,为反击入侵提供依据。 IDS的主要任务是: (1)收集、监视、分析用户及系统的信息活动。 (2)按已知入侵模式识别入侵行为,并及时发出报警信息。 (3)对异常行为模式进行统计分析。 (4)评估重要系统和数据文件的完整性。 (5)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。 (6)审计系统构造和弱点。 3 系统设计 近年来,网络规模急剧增大,校园网络的应用水平也在 不断提高,由过去的浏览校园网介绍转换为做各种教学服务, 教学成绩查询、选课、OA办公等等。规模的壮大和应用水平 的提高就决定了校园网面临的隐患也相应加剧,逐渐成为黑 客攻击的热门目标。 防火墙与入侵检测系统IDS各有优缺点,通过IDS配合 原有的防火墙,进行防护,建立快速反应机制,将IDS与防 火墙结合互动使用,并且设计了一种针对这种互动的基于校 园网的安全模型,对该安全模型的重要组成部分:建立特征 库以及IDS与防火墙的接口设计进行了重点研究。 IDS采用引擎/控制台结构。引擎在系统的各个关键点部 作者简介:漆震云(1979一),男,硕士研究生。 收稿日期:2010—07—12
IDS入侵检测及对数据库系统的应用
摘要IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。通过对IDS的研究应用到数据库系统,对数据库进行数据分析。
关键词入侵检测;数据库系统;IDS
入侵检测技术是近20年来出现的一种主动保护自己以免受入侵者攻击的网络安全技术在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。
传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数据库安全的目的。
1入侵检测原理
1)什么是入侵检测系统。入侵检测系统(Intrusion Detection System)以后简称IDS就是对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源、记录、并通过各种途径通知网络管理员,最大幅度地保障系统,是的合理
补充,帮助系统对付网络攻击,扩展系统管理员的管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,被认为是之后的第二道安 全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。如果说防火墙是一栋大楼的门锁,那IDS就是这栋大楼的监视系统。
2)入侵检测系统的作用。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
应用与安全
入侵检测系统(IDS)应用分析
摘要:入侵检测系统(tDS)是用来监视和检测入侵事件的系统。 分析了入侵检测的过程和IDS应用部署.并分析了入侵检测系统的 发展趋势。 关键词:网络;入侵检测;应用部署:发展趋势
1弓嚏i 随着计算机网络技术和互联网的飞速发 展.网络攻击和入侵事件与日俱增.特别是政 府部门、军事机构、金融机构、企业的计算机网 络频遭黑客袭击。攻击者对那些没有安全保护 的网络进行攻击和入侵,如进行拒绝服务攻 击、从事非授权的访、口]、肆意窃取和篡改重要 的数据信息、安装后门监听程序以便随时获得 内部信息、传播计算机病毒、摧毁主机等等。受 攻击系统问题主要表现在操作系统、网络服 务、TCP/IP协议、应用程序(如数据库、浏览器 等)、网络设备等几个方面。 入侵检测系统(Intrusion Detection Sys— tem,IDS)作为对防火墙极其有益的补充,IDS 能够帮助网络系统快速发现网络攻击的发生, 扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应).提高了信息安 全基础结构的完整性。 从宏观方面看.入侵检测的基本原理很简 单。从收集到的~组数据中.检测出符合某一 特点的数据。入侵者在攻击时会留下一些痕 迹.用这些痕迹与系统正常运行时产生的数据 混合在一起。入侵检测的任务就是要从这样的 混合数据中找出具有特征的数据,判断是否有 入侵
2兀侵桓溺昀边程分析 IDS进行入侵检测有两个过程:信息收集 和信息分析。 2 1信息收集 信息收集的对象包括系统、网络、数据及 用户活动的状态和行为。需要在计算机网络系 统中的若干不同关键点(不同网段和不同主 机)收集信息。除了尽可能扩大检测范围外,还 有一个重要的因素就是仅从一个源点来的信 息可能找不出疑点.但从几个源点来的信息的 不一致性却是可疑行为或入侵的最好标识。当 然.入侵检测很大程度上依赖于收集信息的可 靠性和正确性。 2 2信息分析 信息分析通常有三种手段:模式匹配、统 计分析和完整性分析。这三种分析手段对收集 到的有关系统、网络、数据及用户活动的状态 和行为等信息进行分析。 模式匹配:是将收集到的信息与已知的 网络入侵和系统已有的模式数据库比较.从而 发现违反安全策略的行为。 统计分析:是首先给系统对象(如用户、文 件、目录和设备等)创造一个统计描述,统计正 常使用时的一些测量属性(如访、口]次数、操作 失败次数和延时等)。测量属性的平均值将被 用来与网络、系统的行为进行比较,如果观察 值在正常值范围之外.就认为有入侵发生。 完整性分析:利用加密机制能识别很微小 的变化。 2 3入侵检测系统的结构 从系统结构上看,IDS包括事件提取、入 侵分析、入侵响应和远程管理等。如图1所示。