第二讲信息安全技术之网络安全.教程分析.ppt

入侵检测与防御技术 Intranet 企业网络 生产部 工程部 市场部 人事部 路由 Internet 中继 内部攻击 警告! 启动事件日志, 发送消息 入侵检测工具举例 入侵检测与防御技术 软件产品:一般适合于单机使用 硬件产品:一般适合于局域网使用 IDS类型 IDS组成部分 传感器（Sensor） 控制台（Console） 传感器（Sensor） 控制台（Console） 入侵检测与防御技术 评价IDS功能指标 系统结构 管理模式 通讯安全 策略灵活性 自定义事件 事件库更新 易用性 综合分析 事件数量 结构： 探测引擎: 控制台： 检测能力 事件响应 自身安全 入侵检测与防御技术 评价IDS的功能指标 控制中心 探测引擎 控制中心 请求 应答 请求 ？ 传输数据是明文还是密文？ 通讯安全 入侵检测与防御技术 IDS的功能指标 主动 -入侵检测系统自身阻断 -与防火墙联动 -与Scanner联动 -与防病毒产品联动 -与交换机联动 响应方式 被动 屏幕告警 邮件告警 手机告警 声音告警 SNMP告警 自定义告警 入侵检测与防御技术 IDS功能指标 自身安全 自身操作系统的安全 自身程序的安全 地址透明度 抗打击能力 入侵检测与防御技术 常见产品形态组件 策略下发 上报事件 控制中心 探测引擎 表现方式：软件 功能： 接收事件 策略下发 日志记录与分析 事件库升级 表现方式：硬件/软件 功能： 抓包 分析数据 上报事件 入侵检测与防御技术 方正入侵检测系统软件版 安全监控 实时监控网络使用详细情况。包括服务器、客户端、用户信息、使用数量、使用时间和网页浏览信息等等。甚至可以监控到每个计算机目前使用的端口、任务、类型、使用时间和数据交换等的详细信息。 检测/保护/警告 根据入侵检测规则阻断非法网络流量,发布警告和报告（通过报警、e-mail、移动电话）给网络管理人员。提供黑客的不同信息（目的、黑客行为、攻击尝试的数量、解决办法、黑客攻击的起止时间等等）。提供针对不同的攻击行为的详细信息和对策。提供详尽的黑客文件来定位黑客位置。方正入侵检测系统能很好地与方正防火墙联动,并且支持OPSEC等比较流行的网络安全设备的通讯协议。 信息控制 对进出的邮件进行有效的信息管理,检测e-mail（正文和附件）并可以通过关键字的匹配进行阻断以保证必威体育官网网址或机密信息不泄漏。记录Tel, Ftp等的详细信息。管理访问未授权的网页的信息。控制和管理硬盘共享功能。控制特定的服务器、客户端和服务（协议）,如果需要可以定义规则阻断非法连接。  入侵检测与防御技术 安全管理 方正入侵检测系统的企业级安全管理平台将整个网络的所有安全系统综合到一个统一的ESM平台中。使整个系统易于操作和管理,并且执行一致策略,从而节省安全系统管理费用。 报告 实时或定期的网络使用情况的详细信息报告。黑客攻击信息/检测信息/保护信息/阻止信息报告。数据交换详细信息报告,包括e-mail（正文/附件）、web-mail、Tel、Ftp和远程登录等等。提供各种黑客攻击行为的报告。 入侵检测与防御技术 主要硬件产品 绿盟科技“冰之眼”IDS 　　“冰之眼”网络入侵检测系统由网络探测器、内网探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL 日志数据库系统及绿盟科技中央升级站点几部分组成。利用碎片穿透技术突破防火墙和欺骗入侵检测系统已经成为黑客常用的手段，“冰之眼”网络入侵检测系统能够针对各种协议有效进行IP层的碎片重组，让碎片欺骗技术无所遁形。TCP状态跟踪及流汇聚通过对TCP状态的检测，能够有效避免因单纯包匹配造成的误报,对于利用Stick、snort工具进行欺骗攻击的IDS Flood行为能够有很好的甄别防范能力。针对常用协议进行解码，能够“认清”数据的真实面目并提高了检测效率和准确率。它能采用多种方式，对SYN lood、Winnuke、Jolt、Teardrop 等拒绝服务攻击进行检测，配合其他安全产品，能够进行有效的防御。 入侵检测与防御技术 ·RG-IDS入侵检测系列 RG-IDS 是自动的、实时的网络入侵检测和响应系统，捕获安全事件，给予适当的响应，阻止非法的入侵行为，保护企业的信息组件。 ??? RG-IDS 采用多层分布式体系结构，由五部分程序组件组成：控制台、EC（事件收集器）、LogServer（数据服务器）、Sensor（传感器）、报表和查询工具。 入侵检测与防御技术 入侵检测发挥的作用 意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。 从预警 到保障 入侵检测与防御技术 什么是入侵检测系统 入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认