入侵检测系统及应用 PPT课件
- 格式:ppt
- 大小:1.15 MB
- 文档页数:43


入侵检测系统在电力行业的应用案例
电力行业关系到国计民生,是我国经济快速发展的重要基石。电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提到议事日程上来。
据来自有关部门的资料,目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定,,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施,是电力行业当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
榕基入侵检测系统(RJ-IDS)是榕基网安公司除了漏洞扫描系统外的一条全新产品线,该产品是一种动态的入侵检测与响应系统,除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外,还具有强大的行为和事件统计分析功能,能够自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接,帮助企业最大限度的保护公司内部的网络安全。
网络构架描述
国内电力行业某省级公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足应用需求,从保障业务系统高效、稳定和安全运行等方面考虑,必须升级优化现有系统,其中提高网络的安全性是重中之重。
该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台,局域网是该公司内部日常办公的主要载体,外部信息的获取和发布通过互联网来完成。
该公司的局域网于2001年建成并投入运行,核心交换机为Cisco Catalyst 6509。以千兆下联十多台设在各部门的百兆交换机,均为Cisco Catalyst 3524XL/3550系列交换机,并划分了多个VLAN;在网络出口处,该公司通过Cisco 7401交换机与Internet连接,Internet接入边界有最基本的安全设备,一台硬件防火墙和一台VPN设备。
第八章 入侵检测系统
第一节 引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection
System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
应用与安全
入侵检测系统(IDS)应用分析
摘要:入侵检测系统(tDS)是用来监视和检测入侵事件的系统。 分析了入侵检测的过程和IDS应用部署.并分析了入侵检测系统的 发展趋势。 关键词:网络;入侵检测;应用部署:发展趋势
1弓嚏i 随着计算机网络技术和互联网的飞速发 展.网络攻击和入侵事件与日俱增.特别是政 府部门、军事机构、金融机构、企业的计算机网 络频遭黑客袭击。攻击者对那些没有安全保护 的网络进行攻击和入侵,如进行拒绝服务攻 击、从事非授权的访、口]、肆意窃取和篡改重要 的数据信息、安装后门监听程序以便随时获得 内部信息、传播计算机病毒、摧毁主机等等。受 攻击系统问题主要表现在操作系统、网络服 务、TCP/IP协议、应用程序(如数据库、浏览器 等)、网络设备等几个方面。 入侵检测系统(Intrusion Detection Sys— tem,IDS)作为对防火墙极其有益的补充,IDS 能够帮助网络系统快速发现网络攻击的发生, 扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应).提高了信息安 全基础结构的完整性。 从宏观方面看.入侵检测的基本原理很简 单。从收集到的~组数据中.检测出符合某一 特点的数据。入侵者在攻击时会留下一些痕 迹.用这些痕迹与系统正常运行时产生的数据 混合在一起。入侵检测的任务就是要从这样的 混合数据中找出具有特征的数据,判断是否有 入侵
2兀侵桓溺昀边程分析 IDS进行入侵检测有两个过程:信息收集 和信息分析。 2 1信息收集 信息收集的对象包括系统、网络、数据及 用户活动的状态和行为。需要在计算机网络系 统中的若干不同关键点(不同网段和不同主 机)收集信息。除了尽可能扩大检测范围外,还 有一个重要的因素就是仅从一个源点来的信 息可能找不出疑点.但从几个源点来的信息的 不一致性却是可疑行为或入侵的最好标识。当 然.入侵检测很大程度上依赖于收集信息的可 靠性和正确性。 2 2信息分析 信息分析通常有三种手段:模式匹配、统 计分析和完整性分析。这三种分析手段对收集 到的有关系统、网络、数据及用户活动的状态 和行为等信息进行分析。 模式匹配:是将收集到的信息与已知的 网络入侵和系统已有的模式数据库比较.从而 发现违反安全策略的行为。 统计分析:是首先给系统对象(如用户、文 件、目录和设备等)创造一个统计描述,统计正 常使用时的一些测量属性(如访、口]次数、操作 失败次数和延时等)。测量属性的平均值将被 用来与网络、系统的行为进行比较,如果观察 值在正常值范围之外.就认为有入侵发生。 完整性分析:利用加密机制能识别很微小 的变化。 2 3入侵检测系统的结构 从系统结构上看,IDS包括事件提取、入 侵分析、入侵响应和远程管理等。如图1所示。
入侵检测系统
1. 引言
1.1 背景
近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱
动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的
目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增
长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,
入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的
发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内
部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,
但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内
部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于
企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及
其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测
到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程
中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的
相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能
力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安
全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内
部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 背国内外研究现状
入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如
开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商
业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步
晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,
不过国外有相当完善的技术基础,国内在这方面相对较弱。 2. 入侵检测的概念和系统结构
2.1 入侵检测的概念
入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵
信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵