入侵检测系统(IDS)ppt课件

1、、入侵检测系统IDS、黑客活动猖獗，预防问题日益严重，政府、军事、邮政和金融网络是黑客攻击的主要目标。即使有高性能防火墙等安全产品，也不能阻止黑客破坏网络和系统。据统计，全球每近20秒发生黑客攻击，每年仅在美国就发生100亿美元以上的经济损失。网络入侵的特征，网络入侵的特征没有地理和时间限制；通过网络的攻击往往混杂在许多正常的网络活动之间，具有很强的隐蔽性。入侵手段更加隐蔽和复杂。为什么需要IDS？单一保护产品的弱点防御方法和防御战略的有限动态变化网络环境来自外部和内部威胁，为什么需要IDS？防火墙网络边界设备在来自外部的入侵行为本身有弱点，或者对特定攻击的保护能力可能脆弱通过防火墙保护，即使

2、合法用户非法使用系统，提高自己的权限，只能拒绝非法连接请求，但是对入侵者的攻击行为还不知道。为什么需要IDS？入侵检测教程可从任何地方轻松访问的多种工具。入侵检测概念，入侵检测：从计算机网络或计算机系统的关键点收集和分析信息，以发现网络或系统是否有违反安全策略的行为和攻击迹象。入侵检测系统(IDS):入侵检测系统是软件和硬件的组合，可以适当补充防火墙，是防火墙后面的第二个安全闸门。入侵检测内容：入侵尝试、成功入侵、其他用户姿势、安全策略违反、法律用户泄露、专有资源和恶意使用。入侵检测责任，IDS系统主要包括内容识别黑客常用的四个方面：实时检测和安全审计，入侵和攻击监控网络异常通信识别系统漏洞和

3、后门利用的完整网络安全管理，入侵检测系统功能、监控用户和系统的活动、评估非法用户和合法用户的越权操作检测系统配置的准确性和安全性漏洞评估重要系统和数据的完整性、确定攻击的活动模式、对网络管理人员进行用户非正常活动的统计分析、发现入侵行为的规则、管理操作系统审计线索、确定违反政策的用户活动、确认系统程序和数据的一致性和准确性。入侵检测系统模型(Denning)，入侵检测系统模型(CIDF)，通常是由控制中心和检测引擎两部分组成的入侵检测系统的组件。控制中心是包含控制软件的主机，该控制软件收集来自多个探测引擎的上报事件，全面执行事件分析，并制定能够以多种方式快速响应入侵事件的入侵监视策略。检查引擎

4、负责收集数据，处理后上报管理中心。控制中心和探测引擎通常通过加密数据的网络进行通信。信息收集检测引擎从信息源中收集系统、网络、状态和动作信息的入侵检测操作过程。从信息分析信息中查找并分析表征入侵的异常和可疑信息。警报和响应根据入侵特性和类型执行相应的警报和响应。信息收集、入侵检测的第一步是收集信息，包括系统、网络、数据和用户活动的状态和行为。需要从计算机网络系统的多个其他关键点(其他网段和其他主机)收集信息的原因可能是从一个源的信息中看不到怀疑，但多个源的信息不一致是最能识别可疑行为或入侵的原因。，信息收集、入侵检测的效果必须非常依赖信息收集的可靠性和准确性，并确保用于检测网络系统的软件的完整

5、性。特别是入侵检测系统软件本身非常坚固，必须防止篡改，防止收集错误信息。信息收集、系统和网络日志文件目录和文件的意外更改程序执行中的意外行为以物理形式发生的入侵信息。17，信息分析，模式匹配-误用检测，入侵特征知识库准确性高的统计分析-异常检测统计模型错误，缺少更多完整性分析文件或对象更改后是否进行分析，模式匹配，以及用于比较某些度量属性(例如统计分析、从系统对象(例如用户、文件、目录、设备等)的统计说明开始生成的统计分析、统计正常使用时的访问数、操作失败数和延迟等)的平均值和偏差，如果观察值超出正常值范围，则用于与网络、系统的行为进行比较，例如入侵发生、完整性分析、完整性分析等“false

6、positive(错误报告):系统错误地将异常活动定义为入侵检测：系统未检测到实际入侵行为。23、入侵检测系统分类(a)、分析方法(检测方法)例外检测模型(Anomaly Detection ):首先总结正常操作所需的特征(用户配置文件)，如果用户操作与正常操作有很大差异，则认为是入侵检测模型(Misuse Detection)如果被监视的用户或系统行为与库中的记录相匹配，则系统会将该行为错误定义为入侵，则将此行为视为入侵，即称为错误报告的异常检测模型。如果系统没有检测到真正的入侵行为，则称为堰。特征：异常检测系统的效率取决于用户配置文件的完整性和监控频率。无需定义每个入侵行为，因此可以有效地

7、检测未知入侵。同时，系统可以自我调整和优化以适应用户行为的变化，但是随着检测模型的逐步准确，异常检测会消耗更多的系统资源。误用检测模型，如果入侵特征可以与正常的用户行为相匹配，系统将出现误报；如果没有与某种新的攻击行为相匹配的特征，系统就会产生疏漏。特征：使用特征匹配，误用检测可以显着降低错误发生率，但增加了缺失率。攻击特征的细微变化会使误用检测失效。根据入侵检测系统分类(2)、检测对象，基于主机的主机基础IDS(IDS)HIDS通常使用操作系统的审计日志作为主要数据源输入，并尝试从日志中判断滥用和入侵事件的线索。基于网络的网络基础IDS(Network Based IDS，IDS) NIDS

8、从计算机网络的核心点被动接收通过网络发送的原始通信，并分析和处理获得的网络数据，以获取有助于识别和判断攻击事件的信息。基于网络的IDS (nIDS)，根据通过网络适配器捕获数据包和判断分析数据包的方式，分为基于知识的数据模式判断和基于行为的行为判断，它可以检测超出批准的非法访问IDS的错误，从而检测不影响正常业务的简单配置，基于主机的IDS(HIDS)，HIDS在受保护的主机上配置，以检测对主机的入侵和攻击的主要分析，包括主机的网络连接状态、审核日志和系统日志实施原则审计信息系统配置审计数据分析(日志文件)，NIDS和HIDS比较，入侵检测分类(混合IDS)、基于网络的入侵检测产品和基于主机的

9、入侵检测产品都有缺陷，仅使用一种类型的产品就可能导致主动防御系统不完整。但是他们的缺点是互补的。如果这两种产品能够完美地结合并部署在网络上，那么它将构建为具有网络和基于主机的两种结构特征的完整三维主动防御系统，以便在网络上搜索攻击信息，在系统日志中查找异常。入侵检测系统分类(3)，根据系统的工作方式进行分区：在线入侵检测(IPS)，发现入侵迹象后，立即断开主机与入侵者的连接，并实施证据收集和数据恢复。此测试过程将继续循环。离线入侵检测，根据计算机系统对用户操作进行的过去审计记录确定用户是否在进行入侵活动，如果有，断开连接，记录入侵证据，并执行数据恢复。入侵检测部署、IDS部署模式：孔刘介质集线

10、器交换环境隐藏模式Tap模式在线模式、入侵检测部署，探测器部署位置边界防火墙内部部署，位于边界防火墙外部的主要网络集线器部分安全级别较高的子网。入侵检测部署，如果将入侵检测部署、检测器部署在防火墙的DMZ区域，那么查看受保护区域主机受到攻击的状态，就可以了解防火墙系统的策略是否能正确识别DMZ区域黑客攻击的焦点、入侵检测部署等。路由器和边界防火墙之间的位置检测从互联网到保护网络的所有攻击数审计从互联网到保护网络的所有攻击类型、入侵检测部署、在主要网络集线器上的位置检测等大量网络数据，以提高黑客攻击的可检测性，通过特权用户的特权周边发现未经授权用户的行为。当前主流产品简介，Computer As

11、sociates corporation SessionWall-3/ETrust Intrusion Detection Cisco的NetRanger IDS Intrusion Detection中的Kane、入侵检测系统的优点、入侵检测系统能加强网络安全的优点、能使现有安全系统更加完善的优点、能更好地了解系统的情况；可以追踪攻击者的攻击线。界面友好，易于构建安全系统。可以抓住肇事者。入侵检测系统的不足，入侵检测系统不是万能的，同样也有很多缺点。没有用户干预，不能调查攻击行为；没有用户参与，无法阻止攻击行为；无法克服网络协议的缺陷。克服不了设计原则的缺陷。如果响应不合适，签名数据库更新得不够快。经常是后来发现的，时效性不好。显然，入侵检测技术的发展趋势、大规模分布式入侵检测、传统的入侵检测技术一般仅限于单个主机或网络框架，不能适应大规模网络监控，也不能在徐璐其他入侵检测系统之间工作。因此，必须开发大规模分布式入侵检测技术。宽带高速网络的实时入侵检测技术、多种高速网络陆续出现、多种宽带访问手段层出不穷、在高速网络中实现实时入侵检测