01++入侵检测技术(IDS)实训解读.ppt

绿盟科技 产品名称：冰之眼 主要产品：200系列、600系列、1200系列等 公司网址： IDS相关产品（NIDS） 绿盟科技 优点：支持较多的应用层协议；升级更新速度快（重大安全问题3日内）；多点备份，多监听接口 缺点：产品功能简单；不支持病毒蠕虫检测 IDS相关产品（NIDS） 中科网威 产品名称：天眼IDS 主要产品：NPIDS-N-HP-SB、 NPIDS-N-HP-GB 公司网址： IDS相关产品（NIDS） 中科网威 优点：使用浏览器就可以访问控制台 缺点：攻击特征数少；升级支持不到位；IP碎片生组能力差；不支持病毒蠕虫检测 IDS相关产品（NIDS） 思科 产品名称：Cisco IDS 主要产品：4200系列设备检测器：4210、4235、4250；Cisco Catalyst 6500系列（IDSM-2）服务模块 公司网址：www. IDS相关产品（NIDS） 思科 优点：针对6500服务器的专用模块；具有启发式检测功能 缺点：攻击特征数少（1000）；升级周期（每月更新）；管理界面差，不符合国人使用习惯；各方面功能少，不具备实时监控能力 IDS相关产品（NIDS） CA 产品名称：eTrust IDS 主要产品：eTrust IDS 公司网址：www. IDS相关产品（NIDS） CA 优点：可以检测/阻止包含病毒的网络数据流；支持URL/关键字过滤 缺点：攻击特征数少；性能较差 IDS相关产品（NIDS） IDS面临的挑战 误报是指被入侵检测系统报警的是正常及合法使用受保护网络和计算机的访问 一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击 入侵检测系统相关产品 IDS面临的挑战 误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉 入侵检测系统相关产品 IDS面临的挑战 误报的原因是：缺乏共享数据的机制；缺乏集中协调的机制；缺乏揣摩数据在一段时间内变化的能力；缺乏有效的跟踪分析 入侵检测系统相关产品 第八讲 Windows 环境下的snort IDS实现 1)安装apache 2)安装 PHP5： 3）安装winpcap 4）安装snort7 5）安装和设置mysql 5）安装adodb 6）安装jpgrapg 库 7）安装acid 8）建立acid 运行必须的数据库： 9）解压 snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下 10）启动snort 11）测试snort * * 产品上市越快企业获利越多。德国的经验是，产品比竞争对 手晚一年上市，则必定无利可图。 误用检测方法 是对不正常的行为进行建模，这些行为是以前确认了的误用或攻击 误用检测器分析系统的活动，发现那些与预先定义好了的攻击特征相匹配的事件或事件集 误用检测往往也被叫做基于特征的检测 入侵检测系统的主要方法 误用检测方法 采用的常用方法是模式匹配 模式匹配建立一个攻击特征库，检查发过来的数据是否包含这些攻击特征(如特定的命令等)，然后判断它是不是攻击 入侵检测系统的主要方法 误用检测方法 优点：只收集相关的数据集合，显著减少系统负担，且技术已相当成熟，检测准确率和效率都相当高 弱点：需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的攻击手段 入侵检测系统的主要方法 误用检测方法 比如，下面的语句： Port 25:{“WIZ”|“DEBUG”} 表示：检查25号端口传送的数据中是否有“WIZ”或“DEBUG”关键字 入侵检测系统的主要方法 异常检测方法 是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时也是检测冒充合法用户的入侵者的有效方法 是对正常行为建模，所有不符合这个模型的事件就被怀疑为攻击 入侵检测系统的主要方法 异常检测方法 异常检测首先收集一段时期正常操作活动的历史数据，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式 入侵检测系统的主要方法 异常检测方法 异常检测采用的方法主要有统计分析方法等 对于网络流量，可以使用统计分析的方法进行监控，这样可以防止拒绝服务攻击(DDos)等攻击的发生 入侵检测系统的主要方法 异常检测方法 假定某端口处每秒允许的最大尝试连接次数是1000次，则检测某个时间段内连接次数是否异常的描述如下： set max-connect-number = 1000/s; se