《入侵检测》PPT课件.ppt
《《入侵检测》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《入侵检测》PPT课件.ppt(31页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、入侵检测易 卫E-mail:湖南大学 07-08学年第二学期7-08学年第二学期第七章 对入侵检测系统的评价及发展方向 7.1 概述u入侵检测是一种比较新的网络安全策略。u入侵检测系统在识别入侵和攻击时具有一定的智能,这主要体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面,所以说,入侵检测系统是一种主动防御主动防御技术。u入侵检测作为传统计算机安全机制的补充,它的开发应用增大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发方向。湖南大学 07-08学年第二学期7-08学年第二学期第节 IDS的评价标准的评价标准 从技术的角度看,一个好的入侵
2、检测系统,应该具有以下特点:检测效率高 资源占用率小 开放性 完备性 安全性 湖南大学 07-08学年第二学期7-08学年第二学期第节 通用入侵检测框架通用入侵检测框架CIDF u美国国防部高级研究计划署提出的建议是通用入侵检测框架(CIDFCIDF).它主要包括四部分工作:IDSIDS的体系的体系结结构、通信体制、描述构、通信体制、描述语语言言和应应用用编编程接口程接口APIAPI。uCIDF根据IDS系统的通用的需求以及现有的IDS系统的结构,将入侵检测系统分为四个基本组件:事件事件产产生器、事件分析器、响生器、事件分析器、响应单应单元元和事件数据事件数据库库。u从功能的角度,这种划分体现
3、了入侵检测系统所必须具有的体系结构体系结构:数据数据获获取、数据分析、行取、数据分析、行为为响响应应和数据管理数据管理。湖南大学 07-08学年第二学期7-08学年第二学期7.3 对对IDS的测试与评估的测试与评估 u对入侵检测进行测试和评估,具有以下作用:(1)有助于更好的显现入侵检测系统的特征。(2)对入侵检测系统的各项性能进行评估。(3)利用测试和评估结果,可作出一些预测。(4)根据测试和评估结果,对入侵检测系统进行改善。u美国加州大学的Nicholas J.Puketza等人把测试分为三类:入侵识别测试入侵识别测试(也可说是入侵检测系统有效性测试)、资源消耗测试、强度测试。(也可说是入
4、侵检测系统有效性测试)、资源消耗测试、强度测试。u测试评估入侵检测系统的具体性能指标主要有:1检测率、误报率及检测可信度 2入侵检测系统本身的抗攻击能力 3其他性能指标 湖南大学 07-08学年第二学期7-08学年第二学期第节测试评估的相关问题及其现状测试评估的相关问题及其现状u测试评估所利用的相关数据测试评估所利用的相关数据u 模拟隐蔽化的攻击u测试评估入侵检测系统的环境配置与框架u测试评估入侵检测系统的步骤测试评估入侵检测系统的步骤 u测试评估入侵检测系统中存在的问题湖南大学 07-08学年第二学期7-08学年第二学期企业需要什么样的企业需要什么样的IDS?测试测试IDS的几个关键指标的几
5、个关键指标n通常,对企业网安全性的要求越高,需要采取的防范措施就越严密。那么,对于现实中的企业网,必不可少的防护措施有哪些?n首先,我们需要选用防火墙作为防御非法入侵的大门,通过规则定义,我们告诉防火墙和路由器:符合某些条件的信息可以被放行,不符合某些条件的信息需要被拒绝。同时,我们还可以使用PKI加密认证和VPN通道技术,让“合法”的信息到达目的地。n其次,对服务器系统进行加固,提高安全防护水平。对系统的安全加固是个长期的工作,用户需要随时进行漏洞检查,做到随时发现随时填补。湖南大学 07-08学年第二学期7-08学年第二学期n第三,选用优秀的入侵检测系统(Intrusion Detecti
6、on System,IDS)。在安全防护系统中,若不良来访者被允许访问,它会对企业网做出令网络管理者无法控制的事情,如果系统配备了IDS,这种破坏性行为将被抑制。我们知道,网络总是要提供服务的,对于一些常用的服务如浏览和E-mail收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些服务,无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机,能够监视来访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报警,确保办公与居住人员的安全。湖南大学 07-08学年第二学期7-08学年第二学期nI
7、DS在国内已经出现一段时间了,它是网络安全防护体系的重要组成部分。目前,它在国内的应用还不够广泛,人们还没有充分利用这个利器更好地保护企业网。作为大多数技术人员来说,介绍IDS的资料相对较少,而市场上类似的产品却多如牛毛,如何正确选择适合各自企业应用的产品,是每个人都关心的话题。本文将从使用者的角度介绍选择IDS的几个关键技术点,希望能为用户的选购给予帮助。n需要提醒用户注意的是,在IDS方面做得出色的产品一定很实用,但并不能说它就是一个优秀的安全产品,因为除此之外,它还应该附带很多附属功能,即让用户感觉简单、好用。作为一个真正的IDS产品,其主要功能应包括以下几个方面。n *检测入侵。*远程
8、管理。*抗欺骗能力。*自身安全性。湖南大学 07-08学年第二学期7-08学年第二学期。下面,我们将分别对这4个方面进行分析n一、检测入侵 nIDS最主要的功能是检测非法入侵。能够智能地报告入侵者的非法行为是检验IDS性能优劣的首要条件。用户安装上IDS后,在缺省情况下,应该对各个服务可能遇到的攻击进行告警检测。我们可以选择一些破坏性比较大的攻击,比如远程溢出攻击(只要攻击成功,即可全面控制计算机系统),用它对IDS进行一下测试。面对这种攻击,如果IDS产品没有反应,那么附加功能再多,也是一个检测非法入侵能力低下的产品。湖南大学 07-08学年第二学期7-08学年第二学期n二、远程管理 IDS
9、的机制是监视网络上的流量,如果所要监视的网络不止一个Hub或交换机,就要在每个Hub或交换机上安装网络引擎。这样我们就需要一个控制台和日志分析程序来管理和分析多个网络引擎及它们产生的告警。用户有时希望坐在办公室中实时查看和管理机房里的IDS,作为产品提供商,应该满足用户的这种需求,为用户提供远程管理功能,只是需要注意把这个功能和IDS的另一个功能(即远程告警)区分开。事实上,IDS还应该能够支持各种各样的远程告警方式,像打电话、发邮件等等。不过这种交流是单向的,用户只能被动地得到信息,而不能主动控制远程的网络引擎。湖南大学 07-08学年第二学期7-08学年第二学期n三、抗欺骗能力 IDS的目
10、的是抵制入侵者,然而入侵者会想方设法逃避它。逃避IDS的方法很多,总结起来可以分成两大类:让IDS漏报和让IDS误报。湖南大学 07-08学年第二学期7-08学年第二学期n四、自身安全性 毫无疑问,IDS程序本身的健壮性是衡量IDS系统好坏的另一个指标。如上所述,Stick程序能让IDS停止响应,该IDS的健壮性就值得怀疑。湖南大学 07-08学年第二学期7-08学年第二学期nIDS的健壮性主要体现在两个方面:一是程序本身在各种网络环境下都能正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。IDS用于各个模块间远程通信和控制,如果通信被假冒,比如假冒一个停止远程探测器的命令或者假冒告
11、警信息,都是釜底抽薪的狠招。这就需要用户在模块间的通信过程中引入加密和认证的机制,并且这个加密和认证的机制的健壮性要经受过考验。如果模块间的通信被切断,则需要良好的恢复重传机制。告警信息暂时没有发送出去,并不是丢弃,而是要本地保存,在适当的时候再发送。湖南大学 07-08学年第二学期7-08学年第二学期第 7.4节 IDS产品的选择产品的选择 目前国内外的IDS产品种类比较多。总的来看,国内的IDS产品在功能上差异不是很大。对于一般的用户来说,选择一种适合自己使用的入侵检测系统,应考虑以下几方面的因素因素:n实际的应用需要 n产品的技术性能n产品的其他性能nIDS产品的价格 n运行与维护系统的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵检测 入侵 检测 PPT 课件
限制150内