入侵检测系统简介

1、入侵检测系统简介Intrusion Detection System（IDS） 背景介绍 概念、功能介绍 设计原理及工作过程 分类方法 入侵检测标准化工作 主流产品 展望为什么需要IDS单一防护产品的弱点防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁入侵很容易入侵教程随处可见各种工具唾手可得关于防火墙网络边界的设备，只能抵挡外部來的入侵行为自身存在弱点，也可能被攻破对某些攻击保护很弱即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理

2、网络内部的攻击IDS实时监控网络安全状态误警率高，缓慢攻击，新的攻击模式Scanner完全主动式安全工具，能够了解网络现有的安全水平，简单可操作，帮助系统管理员和安全服务人员解决实际问题，并不能真正了解网络上即时发生的攻击VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一网络入侵的特点没有地域和时间的限制通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强入侵手段更加隐蔽和复杂入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻

3、击的迹象。入侵检测系统：进行入侵检测的软件与硬件的组合 （IDS : Intrusion Detection System）入侵检测入侵检测的职责识别黑客常用入侵与共攻击监控网络异常通信鉴别对系统漏洞和后门的利用完善网络安全管理IDS的作用工作过程信息收集信息分析告警与响应分类按检测对象：按分析方法： 按工作方式：在线入侵检测IDS离线入侵检测IDS基于主机的IDS基于网络的IDS混合型的IDS异常检测模型误用检测模型入侵检测系统性能关键参数误报(false positive)：如果系统错误地将异常活动定义为入侵漏报(false negative)：如果系统未能检测出真正的入侵行为两类IDS监

4、测软件网络IDS侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS视野集中 易于用户自定义保护更加周密对网络流量不敏感 IDS优点与缺点使现有安防体系更完善更好掌握系统情况追踪攻击者攻击线路界面友好抓住肇事者用户必须参与对攻击调查与组织攻击行为不能克服网络协议缺陷不能克服设计原理方面缺陷下供应不够及时CIDF(The Common Intrusion Detection Framework)/draftsCIDFCIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源CIDF是一套规范，它定义了IDS

5、表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略CIDF的主要作用在于集成各种IDS，使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础产品商业CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, I面临的问题(1

6、) 随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击；(2) 入侵者采用加密手段传输攻击信息；(3)日益增长的网络流量导致检测分析难度加大；(4) 缺乏统一的入侵检测术语和概念框架；面临的问题(5)不适当的自动响应机制存在着巨大的安全风险；(6) 存在对入侵检测系统自身的攻击；(7)过高的错报率和误报率，导致很难确定真正的入侵行为；(8) 采用交换方法限制了网络数据的可见性；(9)高速网络环境导致很难对所有数据进行高效实时分析发展方向更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率；在事件诊断和策略来增强异种系统的互操作性和数据一 致性；研制可靠的测试中结合人工分析，提高判断准确性；提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等；采用一定的方法和