【文章內(nèi)容簡介】 oring Corporate Network False Alarms Detected Attacks IDS是第二道防線 44 入侵檢測 (IDS)系統(tǒng)的定義 對計算機或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件進行監(jiān)視和分析，檢查其中是否包含入侵的跡象 入侵檢測系統(tǒng)的功能 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) 發(fā)現(xiàn)入侵行為或異?，F(xiàn)象 及時報警 ,主動響應(yīng) 入侵追蹤 ，收集法律證據(jù) 監(jiān)控網(wǎng)絡(luò)安全狀況，審計分析 監(jiān)控室 =控制中心 攝像機 =探測引擎 Card Key 45 入侵檢測系統(tǒng)技術(shù)發(fā)展歷程 Platform and Device Log Analysis Raw Packet Analysis SignaturePattern Abnormal Analysis Event Correlation amp。 Aggregation Active Response Stateful Protocol Analysis Behavior Description Security Solution Logs Analysis FirstGeneration Audit Logs SecondGeneration NIDS ThirdGeneration NIDS NewGeneration NIDS Protocol Analysis Three Tiers 46 入侵檢測系統(tǒng)的組成 傳感器 (Sensors):收集數(shù)據(jù)源的數(shù)據(jù) 分析器 (Analyzers):根據(jù)傳感器數(shù)據(jù)，確定入侵事件 響應(yīng)器 (Reactor):根據(jù)系統(tǒng)策略和分析器結(jié)果，進行入侵 響應(yīng) 用戶界面 (User Interface)觀察系統(tǒng)分析結(jié)果，制訂策略 47 網(wǎng)絡(luò)數(shù)據(jù)包、連接記錄、訪問記錄 主機系統(tǒng)日志、審計記錄 應(yīng)用程序的日志 其它相關(guān)信息 入侵檢測信息源 48 入侵檢測分析器 規(guī)則匹配 模式匹配 協(xié)議分析 系統(tǒng)狀態(tài)分析 行為統(tǒng)計、事件統(tǒng)計 神經(jīng)網(wǎng)絡(luò)、人工智能 HoneyPot … … 49 入侵檢測響應(yīng)器 報警、通知管理員 阻止進一步的入侵行為 追查入侵來源 恢復(fù)受損系統(tǒng) 取證和反擊 50 網(wǎng)絡(luò) IDS 安裝在被保護的網(wǎng)段中 混雜模式監(jiān)聽 分析網(wǎng)段中所有的數(shù)據(jù)包 實時檢測和響應(yīng) 操作系統(tǒng)無關(guān)性 不會增加網(wǎng)絡(luò)中主機的負載 網(wǎng)絡(luò) IDS優(yōu)點 獨立于操作系統(tǒng) 能檢測可疑的網(wǎng)絡(luò)活動 發(fā)現(xiàn)未成功的攻擊企圖 入侵檢測系統(tǒng)的分類 按數(shù)據(jù)源劃分 主機 IDS：數(shù)據(jù)源來自單個主機 文件系統(tǒng)、帳戶系統(tǒng)、進程分析 網(wǎng)絡(luò) IDS：網(wǎng)絡(luò)數(shù)據(jù) 數(shù)據(jù)包分析和嗅探器技術(shù) 主機 IDS – 安裝于被保護的主機中 – 主要分析主機內(nèi)部活動 187。系統(tǒng)日志 187。系統(tǒng)調(diào)用 187。文件完整性檢查 – 占用一定的系統(tǒng)資源 主機 IDS優(yōu)點 – 誤警率低 – 與網(wǎng)絡(luò)拓撲 /協(xié)議無關(guān) – 不受加密環(huán)境的影響 51 入侵檢測系統(tǒng)的分類 按攻擊檢測技術(shù)劃分 模式匹配： 根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。基于知識的檢測也被稱為誤用檢測 (Misuse Detection) 優(yōu)點 :由于依據(jù)具體特征庫進行判斷，檢測準(zhǔn)確度較高 缺點 :僅能夠發(fā)現(xiàn)已知攻擊 ,不能發(fā)現(xiàn)未知和異常事件 協(xié)議分析：協(xié)議分析充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，使用這些知識快速檢測某個攻擊特征的存在 ,與非智能化的模式匹配相比，協(xié)議分析減少了誤報的可能性。 優(yōu)點 :與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)包和會話時更迅速、有效 ,是目前最主要的檢測技術(shù)之一 行為檢測： 基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測 (Anomaly Detection) 優(yōu)點 :與系統(tǒng)相對無關(guān)，通用性強，具有一定的未知攻擊檢測能力 缺點 :誤報率較高 52 典型入侵檢測系統(tǒng) 典型入侵檢測產(chǎn)品 SNORT,開放源碼、基于規(guī)則的 IDS,業(yè)界最著名的入侵檢測產(chǎn)品之一 ,早期版本主要采用模式匹配技術(shù) 。 AAFID:Purdue39。s COAST distributed agent idea. SHADOW:a project used in the Navy to track intrusions, and generate reports on them. describe coordinated, slow attacks they have detected using this system. Tripware:文件完整性檢測工具 領(lǐng)信入侵檢測系統(tǒng) ,在完全協(xié)議分析的基礎(chǔ)上的智能特征匹配 ,同時輔以異常行為統(tǒng)計分析 ,是業(yè)界領(lǐng)先的入侵檢測系統(tǒng) 。 53 IDS的常見部署位置 網(wǎng)絡(luò)邊界 內(nèi)部不同安全域邊界 服務(wù)器群 重要業(yè)務(wù)網(wǎng)段 內(nèi)部網(wǎng)核心 主機代理 54 IDS技術(shù)發(fā)展趨勢 Meta技術(shù) :產(chǎn)品部件標(biāo)準(zhǔn)化 ,不同廠家 IDS傳感器數(shù)據(jù) 能夠綜合處理 深度檢測技術(shù) :應(yīng)用層檢測技術(shù) ,給予內(nèi)容的檢測技術(shù) 與其他技術(shù)和產(chǎn)品的配合 安全管理平臺 SOC集成 應(yīng)用技術(shù) :千兆網(wǎng) IDS技術(shù)（高速捕獲與處理）；海量數(shù)據(jù)存儲與二次分析技術(shù)；事件關(guān)聯(lián)分析與自動相應(yīng)技術(shù) 55 如何選擇一個好的入侵檢測系統(tǒng) ? 準(zhǔn)確性：低漏報率 ,低誤報率 處理性能 :數(shù)據(jù)源處理能力 完備性：檢測所有攻擊的能力 容錯性：自身防護能力 及時性：響應(yīng)與檢測速度 檢測能力 攻擊 /違規(guī)檢測種類 ,對 IDS躲避技術(shù)的檢測 響應(yīng)機制豐富性 自身安全性 可管理性 易用性 開放性 56 領(lǐng)信入侵檢測系統(tǒng) 簡介 領(lǐng)信入侵檢測系統(tǒng) 采用了新一代協(xié)議分析技術(shù)，并結(jié)合了硬件加速信息包捕捉技術(shù)、基于狀態(tài)的應(yīng)用層協(xié)議分析技術(shù)和開放的行為描述代碼描述技術(shù)來檢測攻擊。能夠滿足大規(guī)模高速骨干網(wǎng)的檢測需求 57 豐富的產(chǎn)品線 量 度 性 能 LND100P 中小型企業(yè) 大中型企業(yè) 電信級企業(yè) 數(shù)據(jù)中心，骨干網(wǎng)絡(luò) 多安全區(qū)域網(wǎng)絡(luò) 小型企業(yè) LND210P LND220P LND230 LND1000P LND2100P LND2420P LND2210P 58 數(shù)據(jù)包重組 協(xié)議分析 狀態(tài)跟蹤 模式匹配 ASIC增強的硬件包獲取技術(shù) 應(yīng)用層協(xié)議分析 基于狀態(tài)的應(yīng)用層協(xié)議分析 應(yīng)用層協(xié)議預(yù)處理 低層協(xié)議分析 流的重組 序列號 重新排序 碎片整理 應(yīng)用層的狀態(tài)跟蹤 傳輸層的狀態(tài)跟蹤 領(lǐng)先的行為檢測技術(shù) 59 深層分析協(xié)議 強大協(xié)議分析能力能夠?qū)?shù)據(jù)報進行深層次的分析，有效地遏制了漏報和誤報 Frame Header IP Datagram Header ICMP/UDP/TCP Header Frame Data Area IP Data Interface Layer Inter Layer Transport Layer HTTP Unicode Data 60 先進的體系設(shè)計 61 多層體系結(jié)構(gòu) 三層體系結(jié)構(gòu)， 方便各種網(wǎng)絡(luò)環(huán)境的靈活部署和管理。分級管理的方式在保證靈活、高效的同時，還在全部組件上提供冗余備份的功能避免了單點失效故障的發(fā)生 CONSOLE EC SENSOR 62 安全可靠的登陸模式 63 在線式多級別多用戶管理方式 64 實時安全事件頻率統(tǒng)計 65 實時安全風(fēng)險評估系統(tǒng) 66 實時 TOP10安全事件統(tǒng)計 67 方便的策略編輯器 68 支持多數(shù)據(jù)庫的快速統(tǒng)計報表 69 高可用性（ HA)配置 EC2 報表 記錄的事件 EC1 數(shù)據(jù)庫 控制臺、報表 115傳感器 115傳感器 管理 記錄和顯示 的事件 記錄和顯示 的事件 記錄的事件 顯示事件 備份 備份 顯示事件 管理 受保護的網(wǎng)絡(luò) Swhich2 ISP2 Swhich1 ISP1 LNDGigA 70 技術(shù)特色 國際領(lǐng)先的檢測引擎和技術(shù) 全部組件支持 HA，檢測引擎支持不對稱路由 實時安全系統(tǒng)風(fēng)險評估系統(tǒng) 全方位事件風(fēng)暴抑制機制，具備 引擎級的告警風(fēng)暴抑制能力 71 競爭優(yōu)勢 低誤報率 先進的事件關(guān)聯(lián)分析技術(shù) 智能包重組技術(shù) 目標(biāo) OS和應(yīng)用程序識別技術(shù) 完整的應(yīng)用層有限狀態(tài)追蹤 應(yīng)用層協(xié)議分析技術(shù) 低漏報率 智能檢測技術(shù) TCP流重組技術(shù) 基于狀態(tài)的協(xié)議分析技術(shù) Unicode解析等多項反 IDS逃避技術(shù) 內(nèi)核級多端口關(guān)聯(lián)技術(shù)