19-入侵检测.ppt

入侵检测 易 卫 E-mail: hnyiwei@126.com 2008.2.10 第七章 对入侵检测系统的评价及发展方向 7.1 概述 入侵检测是一种比较新的网络安全策略。 入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面，所以说，入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。 第7.2.1节 IDS的评价标准 从技术的角度看，一个好的入侵检测系统，应该具有以下特点： 检测效率高 资源占用率小 开放性 完备性 安全性 第7.2.2节 通用入侵检测框架CIDF 美国国防部高级研究计划署提出的建议是通用入侵检测框架（CIDF）.它主要包括四部分工作：IDS的体系结构、通信体制、描述语言和应用编程接口API。 CIDF根据IDS系统的通用的需求以及现有的IDS系统的结构，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 从功能的角度，这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。 7.3 对IDS的测试与评估  对入侵检测进行测试和评估，具有以下作用： (1)有助于更好的显现入侵检测系统的特征。 (2)对入侵检测系统的各项性能进行评估。 (3)利用测试和评估结果，可作出一些预测。 　(4)根据测试和评估结果，对入侵检测系统进行改善。 美国加州大学的Nicholas J. Puketza等人把测试分为三类：入侵识别测试（也可说是入侵检测系统有效性测试）、资源消耗测试、强度测试。 测试评估入侵检测系统的具体性能指标主要有： 1．检测率、误报率及检测可信度 2．入侵检测系统本身的抗攻击能力 3．其他性能指标 第7.3.2节测试评估的相关问题及其现状 测试评估所利用的相关数据 模拟隐蔽化的攻击 测试评估入侵检测系统的环境配置与框架 测试评估入侵检测系统的步骤 测试评估入侵检测系统中存在的问题 企业需要什么样的IDS？——测试IDS的几个关键指标 通常，对企业网安全性的要求越高，需要采取的防范措施就越严密。那么，对于现实中的企业网，必不可少的防护措施有哪些？ 首先，我们需要选用防火墙作为防御非法入侵的大门，通过规则定义，我们告诉防火墙和路由器: 符合某些条件的信息可以被放行，不符合某些条件的信息需要被拒绝。同时，我们还可以使用PKI加密认证和VPN通道技术，让“合法”的信息到达目的地。 其次，对服务器系统进行加固，提高安全防护水平。对系统的安全加固是个长期的工作，用户需要随时进行漏洞检查，做到随时发现随时填补。 第三，选用优秀的入侵检测系统(Intrusion Detection System，IDS)。在安全防护系统中，若不良来访者被允许访问，它会对企业网做出令网络管理者无法控制的事情，如果系统配备了IDS，这种破坏性行为将被抑制。我们知道，网络总是要提供服务的，对于一些常用的服务如浏览和E-mail收发等，防火墙只做到允许或者拒绝各种各样访问者访问这些服务，无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机，能够监视来访者的一举一动，保安人员便可以根据来访者的行为及时发现不法分子，及时报警，确保办公与居住人员的安全。 IDS在国内已经出现一段时间了，它是网络安全防护体系的重要组成部分。目前，它在国内的应用还不够广泛，人们还没有充分利用这个利器更好地保护企业网。作为大多数技术人员来说，介绍IDS的资料相对较少，而市场上类似的产品却多如牛毛，如何正确选择适合各自企业应用的产品，是每个人都关心的话题。本文将从使用者的角度介绍选择IDS的几个关键技术点，希望能为用户的选购给予帮助。 需要提醒用户注意的是，在IDS方面做得出色的产品一定很实用，但并不能说它就是一个优秀的安全产品，因为除此之外，它还应该附带很多附属功能，即让用户感觉简单、好用。作为一个真正的IDS产品，其主要功能应包括以下几个方面。 　　　　* 检测入侵。 　　　　　* 远程管理。 　　　　　* 抗欺骗能力。 　　　　　* 自身安全性。 。下面，我们将分别对这4个方面进行分析 一、检测入侵 IDS最主要的功能是检测非法入侵。能够智能地报告入侵者的非法行为是检验IDS性能优劣的首要条件。用户安装上IDS后，在缺省情况下，应该对各个服务可能遇到的攻击进行告警检