入侵检测技术培训课件.ppt

7.3 入侵检测系统的性能指标 8．自身安全 自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统。 9．终端安全 主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。 7.4 入侵防御系统简介 IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。 IPS在网络中一般有四种连接方式：Span（接在交换机旁边，作为端口映像）、Tap（接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中）、Inline（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-cluster（被动抓包，在线安装）。它在报警的同时，能阻断攻击。 7.5 蜜网陷阱Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个Honeynet中，可以使用各种不同的操作系统及设备，如Solaris、Linux、Windows NT、Cisco Switch等。 这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS Server、WindowsNT的WebServer或者一个Solaris的FTP Server，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。 7.5 蜜网陷阱Honeynet 利用Snort软件安装Win2000Server下的蜜网陷阱 Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行有哪些信誉好的足球投注网站/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。 构建完整的Snort系统需要以下软件，详细安装方法请参照网上相关资料。 acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台 adodb360.zip ADOdb（Active Data Objects Data Base）库for PHP apache_2.0.46-win32-x86-no_src.msi Windows 版本的Apache Web 服务器 jpgraph-1.12.2.tar.gz OO 图形库for PHP mysql-4.0.13-win.zip Windows 版本的Mysql 数据库服务器 php-4.3.2-Win32.zip Windows 版本的php 脚本环境支持 snort-2_0_0.exe Windows 版本的Snort 安装包 WinPcap_3_0.exe 网络数据包截取驱动程序 phpmyadmin-2.5.1-php.zip 基于php 的Mysql 数据库管理程序 7.6 天阗黑客入侵检测与预警系统 天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。 包含如下五个独立的部分： 1）天阗网络入侵检测系统，产品型号：NS200/NS500/NS2200/NS2800。 2）天阗入侵事件定位系统，产品型号：IMS-EP。 3）天阗网络异常流量监测系统，产品型号：FS1900。 4）天阗入侵风险评估系统，产品型号：IMS-RA。 5）天阗主机入侵检测系统，产品型号：HS120/HS220/HS320/HS420/HS520 7.6 天阗黑客入侵检测与预警系统 天阗网络入侵检测系统典型部署结构图 本章小结 本章首先分析了网络