安全产品介绍-入侵检测防御系统.ppt

4．探测引擎与控制中心的通信 作为分布式结构的IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现。 身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。 5．事件定义 事件的可定义性或可定义事件是IDS的一个主要特性。 6．二次事件 对事件进行实时统计分析，并产生新的高级事件能力。 7．事件响应 通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。 还可通过TCP阻断、防火墙联动等方式主动响应。 8．自身安全 自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。 9．终端安全 主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。 IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。 IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。 入侵防御系统 蜜网陷阱Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。 这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。 利用Snort软件安装Win2000Server下的蜜网陷阱 Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行有哪些信誉好的足球投注网站/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。 构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。 acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台 adodb360.zip ADOdb（Active Data Objects Data Base）库for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服务器 jpgraph-1.12.2.tar.gz OO 图形库for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 数据库服务器 php-4.3.2-Win32.zip Windows 版本的php 脚本环境支持 snort-2_0_0.exe Windows 版本的Snort 安装包 WinPcap_3_0.exe 网络数据包截取驱动程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 数据库管理程序 网络入侵检测系统典型部署结构图 本章小结 本章首先分析了网络攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。 介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术：静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价