TCSP入侵检测技术原理ppt课件.ppt

《TCSP入侵检测技术原理ppt课件.ppt》由会员分享，可在线阅读，更多相关《TCSP入侵检测技术原理ppt课件.ppt（117页珍藏版）》请在三一办公上搜索。

1、TCSP入侵检测技术原理,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,网络安全,网络安全对应的英文是Network Security。Security和safety都译为“安全”，但二者其实是有区别的，safety更侧重物理实体上的安全。网络安全领域的研究主要集中在计算机网络。网络安全基本上是一个实践性的技术领域。,安全威胁来源,内部人员,特殊身份人员,外部个人和小组（所谓黑客）,竞争对手和恐怖组织,敌对国家和军事组织,自然和不可抗力,网络安全范畴,网络安全范畴包括的要素：数据：包括网络上传输的数据和端系统中

2、的数据。关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立与维护，信赖关系就意味着能力和数据访问权力的获取。能力：包括网络系统的传输能力与端系统的能力。,网络安全范畴,网络安全包含基本方面：数据保护：包括数据的机密性保护和完整性保护，这方面的理论比较完备（加密体制和算法）实现手段也比较完备。（信赖）关系保护：包括身份鉴别与安全的建立、维护信赖关系。基本手段包括加密与协议的安全设计。理论比较完备，实现手段有一定漏洞。能力保护：包括对网络系统的传输功能与端系统的处理功能的保护。这方面的理论基础基本上是实践经验的总结，运用的手段也基本上是试验性的。能力保护相关的工作也是入侵检测系统发挥作用之

3、处。,PPDR模型,PPDR模型：策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）这是一个螺旋上升的过程，如下图：,图一、PPDR模型示意图,PPDR模型,策略是这个模型的核心，在制定好策略之后，网络安全的其他几个方面就要围绕策略进行。 防护是第一步，它的基础是检测与响应的结果。具体包括：安全规章的制定：在安全策略的基础上制定安全细则。系统的安全配置：安装各种必要补丁，并进行仔细配置。安全措施的采用：安装防火墙、IDS、VPN软件或设备等。检测就是弥补防护对于攻击的滞后时间的必要手段。检测作用包括：异常监视：发现系统的异常情况。如不正常的

4、登陆。模式发现：对已知的攻击模式进行发现。响应就是发现攻击企图或者攻击之后，需要系统及时进行反应报告：让管理员知道是否有入侵。记录：记录入侵的各个细节以及系统的反应。反应：进行相应的处理以阻止进一步的入侵。恢复：清除入造成的影响，使系统恢复正常。,网络安全事件分类,互联网安全事件分类：网页篡改网络蠕虫拒绝服务攻击特罗伊木马,安全事件分类,网页篡改 非法篡改主页是指将网站中的主页更换为黑客所提供的网页。对计算机系统本身不会产生直接的损失，但对电子政务与电子商务等应用来说将被迫终止对外的服务。对政府网站而言，网页的篡改，尤其是含有政治攻击色彩的篡改，会对政府形象造成严重损害。针对网页的篡改，目前国

5、内已有成熟的网页自动保护技术，使用网页自动恢复软件。,安全事件分类,网络蠕虫 网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。它利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其它系统进行传播。它的危害通常有两个方面：蠕虫在进入被攻击的系统后，一旦具有控制系统的能力，就可以使得该系统被他人远程操纵。其危害一是重要系统会出现失密现象，二是会被利用来对其他系统进行攻击。蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪。网络计算机病毒可以看作是网络蠕虫的特例，其差别仅是需要附着在其他程序上进行传播。,安全事件分类,拒绝服务攻击拒绝服务攻击是指在互

6、联网上组织多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而不能再提供正常的服务。 对拒绝服务攻击的处置方法只能通过网络管理部门逐一排查攻击源，并协调各攻击源所在运营商进行清理。,安全事件分类,特罗伊木马特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界连接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其它系统的攻击源。对这类问题的检查，通常需要非常有经验的技术人员才能胜任。,我国互联网安全状况,信息和网络的安全防护

7、能力差 我国现在许多应用网络系统处于不设防状态，存在极大的信息安全风险和隐患。基础信息产业严重依靠国外 我国的信息化建设，基本上是依赖国外技术设备装备起来的。我们对其的研发、生产能力很弱，关键部位完全处于受制于人的地位。信息安全管理机构权威性不够 国家在信息安全问题上缺乏一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。全社会的信息安全意识淡薄 信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的形势极不适应，只是作为信息化的研究分支立项，投人很少，和国外差距越来越远。,IDS定义,IDS入侵检测系统 入侵检测：对系统的运行状态进行监

8、视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统：进行入侵检测的软件与硬件的组合,IDS属性,经济性时效性安全性可扩展性,IDS起源,1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类: 外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。,IDS起源,从1984年到1986年乔治敦大学的Dorothy Den

9、ningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）。,IDS起源,1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。,1994年提出自治代理，以提高IDS的可伸缩性、可维护性、效率与容错性。1998年将信息检索技术应用到入侵检测系统。2000年出现分布式入侵检测系统，是

10、IDS发展史上的一个里程碑。,IDS起源,IDS的基本原理,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙的作用,防火墙的局限,%c1%1c,%c1%1c,Dir c:,防火墙的局限,防火墙的局限,据统计，80%的成功攻击来自于防火墙内部！,防火墙的局限,防火墙不

11、能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。,确保网络的安全,就要对网络内部进行实时的检测 , 这就需要IDS无时不在的防护！,什么是入侵行为,入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。,什么是入侵检测系统,IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络

12、上发生的事件，并能够采取行动阻止可能的破坏。,什么是入侵检测系统,入侵检测系统网络数据包的获取混杂模式网络数据包的解码协议分析网络数据包的检查规则匹配网络数据包的统计异常检测网络数据包的审查事件生成,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。,在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它可以阻止一

13、类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限,入侵检测系统的作用,入侵检测系统的职责,IDS系统的两大职责：实时检测和安全审计。实时监测实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。,入侵检测系统的具体工作,监控网络和系统发现入侵企图或异常现象实时报警主动响应与其它设备联动（防火墙、风险评估系统等）,深层次防御体

14、系的组成,入侵检测,防火墙,入侵检测防御体系中的作用,实时性,协议层次,应用层表示层会话层传输层IP层数据链层物理层,实时 准实时 事后,实时分析所有的数据包，决定是否允许通过,监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警）,记录所有的操作以备事后查询,为系统提供全方位的保护,审计系统,深层次防御体系的特点,深度防御可以对整个网络提供不同级别的保护将网络系统划分安全级别并进行相应保护深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证深度防御可以有效防止蠕虫、病毒的威胁IDS是网络动态防病毒的核心组成深度防御能够对系统提供最完备的保护从物理层直至应用层都可以得到保

15、护深度防御不会破坏系统的效率和稳定性针对不同实时和效率要求进行不同保护深度防御可以识别、防范未知的新攻击方式基于异常分析和行为分析的入侵检测,如何选择合适的入侵检测系统,对入侵和攻击的全面检测能力新漏洞及最新的入侵手段（本地化的研发和售后服务）对抗欺骗的能力防误报及漏报的能力（模式匹配、异常分析和智能分析）对抗攻击的能力对抗针对IDS的拒绝服务的能力（事件风暴的防御）报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护本身的安全性IDS自身的加密认证及安全措施，恶意代码或数据回传人机界面方便管理，降低管理人员的负担（多级控制，丰富报表等）,网络入侵的现状深层防御体系及IDS的作用IDS的

16、分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,IDS分类方法学,根据体系结构进行分类根据检测原理进行分类根据系统特征进行分类,根据体系结构进行分类,集中式：这种结构的IDS可能有多个分布在不同主机上的审计程序，但只有一个中央入侵检测服务器。等级式：定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所控区的分析，然后将当地的分析结果传送给上一级。协作式：将中央检测服务器的任务分佩给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。,根据检测原理进行分类,异常检测(Anomaly Detection )：这种检测方

17、法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。误用检测(Misuse Detection)：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。,异常检测,前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报率低,误报率高,异常检测特点,异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每

18、种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源,异常检测的常用技术,基于统计学方法的异常检测系统 典型例子：NIDES基于神经网络的异常检测系统 典型例子：NNID基于数据挖掘技术的异常检测系统 典型例子：MADAMID使用状态机的异常检测系统,异常检测模型,异常检测实现,自学习系统：自学习系统通过学习事例构建正常行为模型时序的非时序的编程系统：该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。描述统计缺省否认,异常检测实例分析,NIDES引入的概念：

19、度量（Measure）： 主体行为的特性使用度量分为四类：行为强度(Activity Intensity)度量审计记录分布(audit record distribution)度量绝对的(categorical)度量持续的(continuous)度量半生（Harf-life）、老化因子（Aging Factor）统计方法,异常检测实例分析,不同的量度的使用目的：行为强度量度确定产生的活动量是否正常审计纪录分布量度确定最近产生的审计记录所纪录的行为是否正常绝对的和持续的量度则确定在一类行为中（如访问一个文件）产生的操作类型是否正常。,异常检测实例分析,半生是用来设置构成短期行为和长期行为的审计记

20、录的数量或进行审计记录的天数用的。通过设置半生可以让越新的活动所占的权重越大，而在长期概貌里面很早期的活动会趋向于不起作用，也就说被“遗忘”了。这使NIDES具备了简单的学习。老化因子也是审计纪录权重的计算依据。老化因子包括短期老化因子和长期老化因子，前者作用于每一个审计纪录，后者则作用于每一天的纪录汇总。,异常检测理论本身存在的缺陷,基于异常的入侵检测系统首先学习对象的正常行为，并形成一个或一组值表示对象行为的概貌，而表示概貌的这些数据不容易进行正确性和准确性的验证。通过比较长期行为的概貌和短期行为的概貌检测出异常后，只能模糊的报告存在异常，不能精确的报告攻击类型和方式，因此也不能有效地阻止

21、入侵行为。通常基于异常的入侵检测系统首先有一个学习过程，这个过程是否能够正确反映对象的正常行为仍是问题所在；而且检测的过程通常也是学习过程，而这个过程很可能被入侵者利用。,误用检测,前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标:误报低、漏报高,误用检测特点,如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力,误用检测

22、的模型,审计数据,误用检测系统,攻击状态,规则,匹配？,修正现有规则,添加新的规则,时间信息,典型的基于误用的入侵检测系统模型,误用检测系统的类型,专家系统按键监视系统模型推理系统误用预测系统状态转换分析系统模式匹配系统,误用检测专家系统,专家系统采用类似于if-then这种带有因果关系的结构，使用由专家制定的规则来表示攻击行为，并在此基础上从审计事件中找到入侵。但是实际应用中有如下几个问题：数据量问题数据顺序问题专家的综合能力问题规则库缺少环境的适应能力维护问题,模型推理检测系统,模型推理系统最早是由T.D.Garvey和T.F.Lunt提出来的，它主要通过构建一些误用的模型，在此基础上对某

23、些行为活动进行监视，并推理出是否发生入侵行为。 推理系统的组件构成先知模块计划模块解释模块,模型推理检测系统,模型推理系统的优点它的推理过程有比较合理的数学理论模型。计划模块使攻击行为表示与具体的审计数据相分离干扰信息会被忽略，降低需要处理数据量具有一定的预见性，可以采取一些防御性措施模型推理系统的缺点最后的限值定义不当，容易影响检测的准确性检验工作比较难整体性能能否提高很难说维护困难,模式匹配检测系统,模式匹配检测系统是由入侵检测领域的大师Kumar在1995年提出的。模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以

24、用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,入侵信号层次性,依据底层的审计事件，可以从中提取出高层的事件（或者活动）；由高层的事件构成入侵信号，并依照高层事件之间的结构关系，划分入侵信号的抽象层次并对其进行分析。实例化的层次结构意味着可以对每一层中匹配信号的复杂性边界进行划分。Kumar把入侵信号分成四层。,入侵信号层次性,存在（Existence） 这种入侵信号表示只要存在这样一种审计事件就足以说明发生了入侵行为或 入侵企图，它对应的匹配模式称为存在模式

25、（Existence Pattern）。存在模式是很重要的。尤其是当攻击者破坏了系统的审计数据、导致提交的审计数据无法正常反应当前真实状态的时候，通过主动的查询可以起到很好的作用,入侵信号层次性,序列（Sequence） 有些入侵是由一些按照一定顺序发生的行为所组成的，它具体可以表现为一组事件的序列。其对应的匹配模式就是序列模式（Sequence Pattern）,这种入侵审计事件可以表示为在图形中某个方向上一串连续的峰值。序列模式需要注意两点间隔持续时间,入侵信号层次性,规则表示(Regular Expressions) 规则表示模式（RE Patterns）是指用一种扩展的规则表达式方式构

26、造匹配模式，规则表达式是由用AND逻辑表达式连接一些描述事件的原语构成的。适用这种模式的攻击信号通常由一些相关的活动所组成，而这些活动间没有什么事件顺序的关系。,入侵信号层次性,其他 其他模式（Other Pattern）是指一些不能用前面的方法进行表示的攻击，在此统一为其他模式。例如：内部否定模式归纳选择模式,入侵信号层次性,存在模式,序列模式,规则模式,其他模式,间隔,持续时间,匹配模式的层次关系,模式匹配系统的特点,把攻击信号看成一种模式进行匹配的特点事件来源独立描述和匹配相分离动态的模式生成多事件流可移植性,模式匹配系统具体的实现问题,模式的提取：要使提取的模式具有很高的质量，能够充分

27、表示入侵信号的特征，同时模式之间不能有冲突。匹配模式的动态增加和删除：为了适应不断变化的攻击手段，匹配模式必须具有动态变更的能力增量匹配和优先级匹配：有事件流对系统处理能力产生很大压力的时候，要求系统采取增量匹配的方法提高系统效率，或者可以先对高优先级的事件先行处理。完全匹配：匹配机制必须能够对所有模式进行匹配的能力,IDS分类方法学,根据体系结构进行分类根据检测原理进行分类根据系统特征进行分类,根据系统特征进行分类,分类特征应该考虑的重要因素检测时间数据处理的粒度审计数据来源入侵检测响应方式数据收集地点数据处理地点安全性互操作性,根据系统特征进行分类,根据检测时间脱机分析：行为发生后，对产生

28、的数据进行分析联机分析:在数据产生的同时或者发生改变时进行分析,根据系统特征进行分类,数据处理的粒度基于数据流方式的粗粒度基于连接的细粒度 数据处理的粒度和检测时间有一定的关系，但是二者并不完全一样，一个系统可能在相当长的时延内进行连续数据处理，也可以实时地处理少量的批处理数据。,根据系统特征进行分类,审计数据来源基于网络数据基于主机安全日志文件（包括操作系统的内核日志、应用程序日志、网络设备日志）,根据系统特征进行分类,入侵响应方式被动响应：本身只会发出警告，不能试图降低破坏，更不会主动地对攻击者采取反击行动主动响应：对被攻击系统实施控制：它通过调整被攻击系统的状态，阻止或者减轻攻击的危害对

29、攻击系统实施控制的系统： 主动响应如果失败可能使系统暴露在拒绝服务攻击之下。,根据系统特征进行分类,数据收集或者处理地点集中式的分布式的,IDS的实现方式-网络IDS,主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等,IDS的实现方式-主机IDS,主机IDS和网络IDS的比较,基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者转移证据很困难。（3）实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。

30、从而将入侵活动对系统的破坏减到最低。（4）能够检测未成功的攻击企图。（5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的IDS的主要优势有：（1）非常适用于加密和交换环境。（2）实时的检测和应答。（3）不需要额外的硬件。,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,IDS的基本结构,IDS系统结构-探测引擎,采用旁路方式全面侦听网上信息流，实时分析将分析结果与探测器上运行的策略集相匹配执行报警、阻断、日志等功能。完成对控制中心指令的

31、接收和响应工作。探测器是由策略驱动的网络监听和分析系统。,IDS的基本结构 -引擎的功能结构,IDS系统结构-控制中心,提供报警显示提供对预警信息的记录和检索、统计功能制定入侵监测的策略；控制探测器系统的运行状态收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。,IDS的基本结构-控制中心的功能结构,网络入侵检测系统的部署方式,NIDS的位置必须要看到所有数据包共享媒介HUB交换环境隐蔽模式千兆网分布式结构SensorConsole,HUB,IDS Sensor,Monito

32、red Servers,Console,网络入侵检测系统的部署方式,Switch,IDS Sensor,Monitored Servers,Console,网络入侵检测系统的部署方式,Switch,IDS Sensor,Monitored Servers,不设IP,网络入侵检测系统的部署方式,IDS Sensors,L4或L7交换设备,网络入侵检测系统的部署方式,IDS的系统结构,单机结构 ：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。优点是结构简单，不会因为通讯而影响网络带宽和泄密。分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大

33、多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。,IDS的系统结构-分布式结构图,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,入侵检测没有用的技术？,入侵检测一种被提及太多的技术 一种容易引起误解的技术那么，入侵检测是不是没有用了？,管理人员需要了解网络中正在发生的各种活动管理人员需要在攻击到来之前发现攻击行为管理人员需要识别异常行为需要有效的工具进行针对攻击行为以及异常

34、的实时和事后分析,入侵检测系统逐渐成为安全防护体系中不可缺少的一部分Awareness is the key to security入侵检测是审计的基础入侵检测是网管的基础,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,第四代入侵管理技术,现代入侵攻击技术:新一代主动式恶意代码极短时间内（Flash worms-30s），利用优化扫描的方法，感染近十万个有漏洞的系统,可以确定并记录是否被击中（4-5分钟，感染近百万台系统）。,被感染的机器,有漏洞的机器,第四代入侵管理技术,入侵发展（目标、入侵者攻击能力、传播速

35、度、工具数量、复杂、隐蔽） 利用加密传播恶意代码 各种技术和策略间的互操作及关联分析 日益增长的网络流量,抵御入侵面临的挑战,第四代入侵管理技术,入侵检测术语未统一 入侵检测系统维护非常困难 在采取不适当的自动响应行为中存在风险 入侵检测系统可能自己攻击自己,抵御入侵面临的挑战,第四代入侵管理技术,误报漏报使得系统准确性大大折扣 客观性的测评信息缺乏（如何选择和评价）高速网络与实时分析 直观的事件分析报告,抵御入侵面临的挑战,第四代入侵管理技术,第一代：协议解码+模式匹配 优点：对已知攻击，极其有效，误报率低 缺点：极其容易躲避，漏报率高,第四代入侵管理技术,第二代：模式匹配+简单协议分析+异

36、常统计优点：能够分析处理一部分协议，重组缺点：匹配效率较低，管理功能较弱,第四代入侵管理技术,第三代：完全协议分析+模式匹配+异常统计优点：误报、漏报、滥报率低，效率高，可管理性强缺点：可视化程度不够，防范及管理功能较弱,第四代入侵管理技术,第四代：安全管理+协议分析+模式匹配+异常统计优点：入侵管理、多项技术协同、安全保障缺点：专业化程度较高，成本较高,网络入侵的现状深层防御体系及IDS的作用IDS的分类方法学IDS的结构入侵检测的困惑第四代入侵检测技术入侵检测的新发展,内容提要,入侵检测的新时代,行业化时代客户化时代大规模应用时代,三个标志：,行业化时代,针对不同行业的定制自适应、自学习能

37、力抽象出针对行业的模板,客户化时代,即“系列化”时代。仅凭单一产品服务天下所有用户的时代早已尘封，取而代之的是根据用户需求，将产品细分并不断为之注入新的技术活力的“客户化”产品，使得不同用户可以根据自身网络环境需求来挑选真正满足自身安全需要的防御系统。百兆入侵检测系统千兆入侵检测系统专用检测系统为中小型企业用户专门打造主机入侵检测系统多平台,从不知到有知,从被动到主动,需要系列化入侵检测,从事后到事前,从预警到保障,NIDS,NIDS,NIDS,DNS,$,$,$,$,需要系列化入侵检测,HIDS,HIDS,需要系列化入侵检测,不同入侵管理系统不同类型（主机、网络、综合）不同技术（管理、协议分

38、析、模式匹配、异常统计）不同部件（扫描、恶意代码检测、蜜网、结构分析）不同性能（百兆、千兆、2.5G Pos）不同服务（分析、综合）,低端入侵检测,清晰的界面只针对网络事件无需多级控制用户审计简便无需了解事件细节（原始报文）简便的设置鲜明的报表（事件库）与防火墙联动与Scanner联动低端入侵检测是无需现场服务的产品,中端入侵检测,多级管理、控制集多种主机代理与网络引擎于一起可自定义事件可自定义窗口可自动定义协议可自定义显示内容与防火墙联动用户审计手段可观察事件细节远程升级综合型事件库中端入侵检测必须是体现专业化的产品,高端入侵检测产品,综合分析能力全局预警能力动态策略调整功能攻击关联分析功能

39、协同工作能力远程分布式能力 高端入侵检测具有综合分析能力和全局预警能力,大规模应用时代,大规模不是简单的重叠大规模入侵监测的发展和应用和IP定位的结合和网络拓扑发现的结合,入侵监测的新发展,可扩展性网络规模迅速发展的要求数据获取和分析能力的加强模式匹配算法对数据库技术的应用和网络管理系统的相互融合形成全网监控的管理平台的主要部分远程管理和远程服务可用性的提高和其他技术的相互融合事件响应机制,入侵监测的新发展（续）,入侵监测数据分析新方向对攻击和威胁进行更加详细的分类最大限度地降低误报和漏报率事件相关性分析时间相关性分析入侵监测专用技术的逐步形成黑客事件的描述语言探测引擎所使用的实时OS芯片技术,谢谢！,