入侵检测系统概述及主要产品分析

1、 （IDS）入侵检测系统概述及主要产品分析CONTENTS目录入侵检测系统的概念1入侵检测系统的主要技术2入侵检测系统的类型3入侵检测系统的主要产品4IDS优、缺点及发展趋势5 侵检测系统IDS简介IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。 是指监视（或者在有可能的情况下阻止）入侵或者试图控制你的系统或者网络资源行为的系统。入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统，例如防火墙；识别防火墙通过不能识别的攻击，如来自企业内部的攻击；在发现入侵企图后提供必要

2、而信息。防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之后的第二道闸门，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线，从而可以极大地减少网络免受各种攻击的伤害。入侵检测系统的作用1使系统管理员时刻了解网络系统的任何变更324给网络安全策略的定制提供指南具有管理方便、配置简单的特性，从而使非专业人员非常容易的管理网络安全规模根据网络威胁、系统构造 和安全需求的改变而改变。入侵检测系统的特点不需要人工干预即可不间断地运行。有容错功能。即使系统发生了崩溃，也不会丢失数据。不需要占用大量的系统资源。能够发现异于正常

3、行为的操作。能够适应系统行为的长期变化。保持领先，能及时升级。入侵检测系统的主要技术一.签名分析法主要用来检测有无对系统已知弱点进行攻击的行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。主要方法：从攻击模式中归纳出其签名，编写到IDS系统代码里，再由IDS系统对检测过程中收集到的信息进行签名分析。签名分析实践上是一个模板匹配操作，匹配的一方是系统设置情况和用户操作动作，一方是已知攻击模式的签名数据库。二.统计分析法以系统正常使用情况下观察到的动作为基础，如果某个操作偏离了正常的轨道，此操作就值得怀疑。 主要方法： 首先根据被检测系统的正常行为定义出一个规律性的东西，在此称为“写

4、照”，然后检测有没有明显偏离“写照”的行为。统计分析法的理论基础是统计学，此方法中“写照”的确至关重要。三.数据完整性分析法数据完整性分析法主要用来查证文件或对象是否被修改过。理论基础是密码学。入侵检测系统的主要类型一.应用软件入侵检测 在应用软件收集信息。 控制性好，具有很高的可靠性。 需要支持的应用软件数量多。二.基于主机的入侵检测 通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配，IDS系统通过向管理员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步的攻击。反

5、应的时间为与定期检测的时间间隔。三.基于网络的入侵检测 基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前，部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到相应模块将按照配置对攻击做出反应。这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等 。四.集成入侵检测 结合了应用软件入侵检测、基于主机的入侵检测、基于网络的入侵检测三种技术的入侵检测方法。并试图弥补各自的不足，稳定性好，节约成本，但把不同供应商的组建集成在一起比较困难。入侵检测类型的主要产品1、Cisco公司的Net

6、Ranger1、NetRanger的控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击2、NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。3、NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。2、Network Associates公司的CyberCo局域网管理员正是NetWork Associates的主要客户群。CyberCop还能生成可以被 Sniffer识别的踪迹文件。

7、与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。3、天融信网络卫士入侵检测 TopSentry 误用检测 异常检测智能协议分析分析 会话状态分析实时关联检测网络数据报警事件典型应用：中小企业的网络部署 ，topsentry的监听口可通过端口镜像来同时监控内网和DMZ区的入侵IDS优点能够使现有的安防体系更完善能够更好的掌握系统的情况能够追踪攻击者的攻击路线界面友好，便于建立安防体系能够抓住肇事者IDS缺点不能够在没有用户参与的情况下对攻击行为展开调查不能够在没有用户参与的情况下阻止攻击行为的发生不能克服网络协议方面的缺陷不能克服设计原理方面的缺陷响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。IDS的发展趋势1、大规模分布式入侵检测，传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。2、宽带高速网络的实时入侵检测技术，大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题3、入侵检测的数据融合技术，目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的