IDS技术与方案.ppt
《IDS技术与方案.ppt》由会员分享,可在线阅读,更多相关《IDS技术与方案.ppt(55页珍藏版)》请在三一办公上搜索。
1、,入侵检测(IDS)技术与方案,李明柱 博士,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,什么是入侵检测?,入侵检测系统(Intrusion Detection System或者称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术,处于防火墙之后,在不影响网络性能的情况下对网络和系统进行实时监测,可以有效地防止或减轻上述的网络威胁,帮助系统对付网络攻击,
2、扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。因此IDS成为防火墙之后的第二道安全闸门,不仅愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥关键作用。,IDS能做什么?,监控网络和系统发现入侵企图或异常现象实时报警主动响应,常见安全产品,身份认证加密防病毒防火墙入侵检测,IDS与防火墙的关系?,有的防火墙能够检测到一些类型的攻击,例如SubSeven后门程序所使用的27374端口。当检测到攻击者利用特殊的数据包对网络渗透时,防火墙还能报警。从严格的意义上来说,这是IDS的功能。然而,防火墙使用的检测技术仅仅是简单的决定什么样的
3、数据包能够或不能够进出网络,而不能期望它去分析每个数据包中的内容。甚至连代理型的防火墙都不能去检测每个数据包中的所有内容,因为这样做非常耗CPU的资源。防火墙检查数据包的包头部分,决定是否放行或丢弃。IDS检查数据包的包头和数据部分,发现有恶意攻击的内容要发出警报。不同的网络位置(并行和串行)防内和防外,IDS与防病毒产品的关系?,IDS只能检测出一些病毒,主要是基于某些漏洞传播的蠕虫。只有专业的防病毒软件能抵御所有的病毒。不同的网络位置(并行和串行),IDS作用,很多机器被攻击的理由仅仅是被用来做DDOS攻击的跳板。互联网上的盗版者使用网络中容易被攻击的WEB站点存放盗版信息,散布盗版软件和
4、色情内容。不经过我们的同意,我们的系统被用来作为邪恶的,不合法的活动的跳板。IDS的日志记录是重要的攻击证据IDS能让我们了解我们的网络的健康和安全IDS能发现失败的以管理员身份登陆的企图和密码猜测程序。内置式IDS能够在发现攻击时及时阻止攻击并通知管理员。IDS能够发现攻击并弥补其他网络设备的不足,例如防火墙和路由器。IDS的日志信息能作为加强公司安全策略的参考。防火墙的规则和路由器的访问列表能够执行特定的功能。缓冲区溢出攻击在现在的攻击中类型中占了很大的百分比,Snort内置了很多检测缓冲区溢出攻击的规则。后门和木马是带有恶意代码的远程控制程序,目的是为了控制我们的机器。Snort能够检测
5、这些木马的通讯,从而在后门和木马活动时报警。邮件服务器是攻击者的主要目标。因为这些服务器必须在互联网上进行访问,所以很容易遭到攻击。Snort有很多规则可以检测对邮件服务器的攻击,还能够检测邮件病毒。除了检测入侵,IDS还能做很多其他工作,包括监视数据库的访问,监视DNS服务,保护邮件服务器,监督公司的安全策略等。,内容,基本概念技术分类实现原理部署方案测试方案产品介绍,IDS的分类,主机入侵检测(HIDS)网络入侵检测(NIDS)分布式入侵检测(DIDS),资源,IDS FAQhttp:/pubs/Focus-IDS MailinglistYawlhttp:/OldHandhttp:/Sin
6、badhttp:/=IDS,产品举例,产品功能,攻击检测状态维护和重组应用层协议解码非法外联检测地址欺骗检测策略编辑和策略模板多种响应方式网络流量统计,内容检测回话回放远程管理远程升级用户管理审计和报表数据库管理,攻击检测,检测多种攻击行为检测1400多种攻击细粒度检测技术,细粒度检测,模式匹配,协议解码,异常检测,IP碎片重组防止IP碎片类型的攻击防止IP碎片欺骗 TCP状态跟踪和流重组协议异常检测防范针对IDS的DoS攻击增强应用层检测能力,网络层状态维护和重组,应用层协议解码理解网络行为进一步分析的基础基于应用层解码的自定义规则高精度模式匹配会话记录异常行为记录,应用层协议解码,非法外联
7、检测检测网络中的非法拨号和入侵检测无缝集成,无需客户端代理 防IP地址欺骗受护网络中主机的IPMAC的纪录跟踪,检测非法外联、地址欺骗,策略模板定制预定义模板:Windows系统Unix系统SQL服务器FTP服务器用户自定义模板:WIN+SQL+自定义规则,策略模板,多种响应方式防火墙联动电子邮件声音报警Windows消息报警TCP阻断,响应方式,网络流量统计实时刷新的图形化界面:比特统计报文统计关键端口流量统计TCP连接统计报警事件统计,流量统计,网络敏感内容检测监测内部的网络滥用行为:URL地址FTP、TELNET的用户名、密码、命令邮件主题,内容检测,网络事件回放重现网络行为:HTTPF
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDS 技术 方案
链接地址:https://www.31ppt.com/p-5434584.html