入侵检测介绍课件

广东天海威数码技术有限公司入侵检测系统概述广东天海威数码技术有限公司入侵检测系统概述1大纲前言入侵检测系统简介入侵检测系统分类入侵检测系统技术原理入侵检测系统的布署

入侵检测主要功能指标

大纲前言2一、入侵检测系统简介

入侵检测系统定义入侵检测系统（IntrusionDetectionSystem,简称IDS）:顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。特征>收集信息>分析信息>给出结论>做出反应一、入侵检测系统简介入侵检测系统定义3一、入侵检测系统简介

为什么需要入侵检测系统是对防火墙的补充在入侵成功之前进行识别能减少入侵攻击所造成的损失收集入侵攻击的相关信息，留作证据更新防范系统的知识库

一、入侵检测系统简介为什么需要入侵检测系统4一、入侵检测系统简介

入侵检测系统的发展以Denning模型为代表的IDS早期技术

中期：统计学理论和专家系统相结合

基于网络的NIDS是目前的主流技术

入侵检测系统发展趋势>>detaile

一、入侵检测系统简介入侵检测系统的发展5二、入侵检测系统的分类

入侵检测系统(IntrusionDetectionSystem)通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 从技术上看，这些产品基本上分为以下几类：基于网络的入侵检测系统(NIDS)基于主机的入侵检测系统(HIDS)分布式入侵检测系统(DIDS) 此外，文件的完整性检查工具也可看作是一类入侵检测产品。

二、入侵检测系统的分类 入侵检测系统(Intrusion6二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）

通过端口镜像实现（SPAN/PortMonitor）二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）7二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）网络入侵检测系统的优点：检测基于网络的攻击。

安装在网络关键点，不需要改变服务器等主机的配置。以并联的方式接入网络，不影响网络性能。

简单易用。网络入侵检测系统的弱点：网络结构导致网络数据来源不充分，受交换环境影响。漏报和误报的矛盾。海量信息与分析代价的矛盾。

检测加密网络数据困难。二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）8二、入侵检测系统的分类基于主机的入侵检测系统二、入侵检测系统的分类基于主机的入侵检测系统9二、入侵检测系统的分类基于主机的入侵检测主机入侵检测系统的优点：1)检测入侵误报率低2) 获取入侵信息详细3) 不受交换环境影响4) 监测系统内部入侵和违规操作5) 可以对本机进行防护和阻断主机入侵检测系统的弱点：

主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。

会影响保护设备的性能。安装管理麻烦。操作系统局限系统日志限制被修改过的系统核心能够骗过文件检查

二、入侵检测系统的分类基于主机的入侵检测10二、入侵检测系统的分类分布式入侵检测系统（DIDS）

二、入侵检测系统的分类分布式入侵检测系统（DIDS）11三、入侵检测系统技术原理检测技术基于特征（Signature-based）维护一个入侵特征知识库准确性高基于异常（Anomaly-based）统计模型专家系统误报较多三、入侵检测系统技术原理检测技术12三、入侵检测系统技术原理1、网络入侵检测安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载三、入侵检测系统技术原理1、网络入侵检测13三、入侵检测系统技术原理1、网络入侵检测系统技术原理黑客入侵的过程和阶段阶段3:攻击&资源控制·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternet阶段2:边界渗透·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·阶段1:踩点&扫描·

Scanning&probingAutomated网络入侵检测系统网络入侵检测系统三、入侵检测系统技术原理1、网络入侵检测系统技术原理阶段314三、入侵检测系统技术原理2、网络入侵检测系统技术原理InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNIDSNIDS三、入侵检测系统技术原理2、网络入侵检测系统技术原理Inte15三、入侵检测系统技术原理3、网络入侵检测系统技术原理工作原理InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：

包头信息+有效数据部分三、入侵检测系统技术原理3、网络入侵检测系统技术原理Inte16三、入侵检测系统技术原理4、网络入侵检测系统技术原理设计原理三、入侵检测系统技术原理4、网络入侵检测系统技术原理17三、入侵检测系统技术原理1、主机入侵检测安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源三、入侵检测系统技术原理1、主机入侵检测18三、入侵检测系统技术原理3、主机入侵检测系统技术原理Internet网络服务器1客户端网络服务器2X检测内容：

系统调用、设备监控、端口调用、系统日志、安全审记、应用日志、文件防护监控、注册表监控等。其它功能：个人版防火墙。特点：集中管理和报警。HIDSXHIDS工作原理三、入侵检测系统技术原理3、主机入侵检测系统技术原理Inte19三、入侵检测系统技术原理4、主机入侵检测系统技术原理设计原理三、入侵检测系统技术原理4、主机入侵检测系统技术原理20三、入侵检测系统技术原理1、分布式入侵检测系统技术原理设计原理三、入侵检测系统技术原理1、分布式入侵检测系统技术原理21三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报与技术水平相关与数据处理能力有关(不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量大量检测特征事件与信号分析特征代码分析安全策略基本安全策略(点策略)运行安全策略(线策略)安全局限到达主机的所有事件传输中的非加密非保密信息安全隐患违规事件攻击方法或手段三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报22四、入侵检测系统的布署

NIDS的位置必须要看到所有数据包共享媒介HUB交换环境隐蔽模式千兆网分布式结构SensorConsole四、入侵检测系统的布署NIDS的位置必须要看到所有数据包23四、入侵检测系统的布署

HUBIDSSensorMonitoredServersConsole共享媒介四、入侵检测系统的布署HUBIDSSensorMonit24四、入侵检测系统的布署

交换环境SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）四、入侵检测系统的布署交换环境SwitchIDSSens25四、入侵检测系统的布署

隐蔽模式SwitchIDSSensorMonitoredServersConsole不设IP四、入侵检测系统的布署隐蔽模式SwitchIDSSens26四、入侵检测系统的布署

千兆网络L4或L7交换设备四、入侵检测系统的布署千兆网络L4或L727五、入侵检测主要功能指标

在性能许可的前提下，尽可能选择功能最适合公司使用的入侵检测系统。在功能选择应该考虑下列一些：

自动检测类型广泛的攻击支持异常检测与统计检测等检测方法蠕虫检测功能提供自定义策略服务入侵检测功能检测分析功能入侵取证和入侵者身份确认功能升级功能远程集中管理功能日志安全存储功能报警功能网络流量分析功能与防火墙联动五、入侵检测主要功能指标 在性能许可的前提下，尽可能选择28五、入侵检测主要功能指标

察入侵检测产品性能主要考虑下列指标：检测入侵的种类和数量误报率和漏报率系统检测效率抗攻击能力五、入侵检测主要功能指标 察入侵检测产品性能主要考虑下列指标29六、入侵检测系统产品的选购

用户在选择入侵检测系统产品时需要注意以下事项：产品功能

检测入侵能力:入侵检测系统检测入侵能力方面主要考虑以下几点：自动识别类型广泛的攻击、支持异常检测与统计检测等检测方法、专用的蠕虫检测能力、策略自定义功能、内容检测、专用的针对服务器入侵检测能力等。响应和取证能力:入侵检测系统在响应和取证方面主要考虑以下几点：多种报警功能、入侵取证能力、入侵主机身份确认能力、安全设备联动能力、报警日志集中安全存储等。管理能力:入侵检测系统应支持集中式的安全管理。入侵检测系统管理员应能够有效管理检测引擎，管理功能主要有：配置检测引擎参数、配置文件下载上传、时间同步、管理口管理、远程重启和关闭检测引擎、模式库升级管理、检测引擎模块升级管理。并提供简单易用的串口管理功能。六、入侵检测系统产品的选购用户在30六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注意以下事项：产品功能

报表分析能力:支持管理、监视、控制和分析功能融合的图形化控制台。入侵检测系统应提供组合搜索分析入侵信息的能力，并能按事件分类生成实用的报表。六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注31六、入侵检测系统产品的选购

用户在选择入侵检测产品时需要注意以下事项： 产品性能

检测入侵种类和规则数量误报率和漏报率抗攻击能力系统检测效率厂商专业性

随着新的入侵事件和新的蠕虫出现，厂商应及时升级入侵检测产品，因此用户应选择具有研发实力的安全厂商。六、入侵检测系统产品的选购用户在32六、入侵检测系统产品的选购

用户在选择入侵检测产品时需要注意以下事项：产品服务

安全产品的技术支持具有紧急的特点，所以，拥有强大的本地技术支持能力也是选择入侵监测系统的重要因素。其中包括紧急响应速度和能力及专业的报警日志分析取证能力等。六、入侵检测系统产品的选购用户在33Q&AQ&A34解释：Denning美国斯坦福国际研究所（SRI）的D.E.Denning于1986年首次提出一种入侵检测模型>>back解释：Denning35入侵检测系统的发展1980年的4月，JamesP.Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”(ComputerSecurityThreatMonitoringandSur-veillance)的技术报告，这份报告被公认为是入侵检测的开山之作。

1986年，为检测用户对数据库异常访问，W.T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。1987年，乔治敦大学的DorothyE.Denning提出了一个实时的入侵检测系统抽象模型——IDES（IntrusionDetectionExpertSystem，入侵检测专家系统）

1990年是入侵检测系统发展史上的一个分水岭。

1994年，MarkCrosbie和GeneSpafford建议使用自治代理（autonomousagents）以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件代理，softwareagent）的研究。1995年开发了IDES完善后的版本——NIDES（Next-GenerationIntrusionDetectionSystem）可以检测多个主机上的入侵。另一条致力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1996年提出，这就是GrIDS（Graph-basedIntrusionDetectionSystem）的设计和实现，该系统使得对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管理领域。近些年来，入侵检测的主要创新包括：Forrest等将免疫原理运用到分布式入侵检测领域。1998年RossAnderson和AbidaKhattak将信息检索技术引进到入侵检测。>>back入侵检测系统的发展1980年的4月，JamesP.An36广东天海威数码技术有限公司入侵检测系统概述广东天海威数码技术有限公司入侵检测系统概述37大纲前言入侵检测系统简介入侵检测系统分类入侵检测系统技术原理入侵检测系统的布署

入侵检测主要功能指标

大纲前言38一、入侵检测系统简介

入侵检测系统定义入侵检测系统（IntrusionDetectionSystem,简称IDS）:顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。特征>收集信息>分析信息>给出结论>做出反应一、入侵检测系统简介入侵检测系统定义39一、入侵检测系统简介

为什么需要入侵检测系统是对防火墙的补充在入侵成功之前进行识别能减少入侵攻击所造成的损失收集入侵攻击的相关信息，留作证据更新防范系统的知识库

一、入侵检测系统简介为什么需要入侵检测系统40一、入侵检测系统简介

入侵检测系统的发展以Denning模型为代表的IDS早期技术

中期：统计学理论和专家系统相结合

基于网络的NIDS是目前的主流技术

入侵检测系统发展趋势>>detaile

一、入侵检测系统简介入侵检测系统的发展41二、入侵检测系统的分类

入侵检测系统(IntrusionDetectionSystem)通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 从技术上看，这些产品基本上分为以下几类：基于网络的入侵检测系统(NIDS)基于主机的入侵检测系统(HIDS)分布式入侵检测系统(DIDS) 此外，文件的完整性检查工具也可看作是一类入侵检测产品。

二、入侵检测系统的分类 入侵检测系统(Intrusion42二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）

通过端口镜像实现（SPAN/PortMonitor）二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）43二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）网络入侵检测系统的优点：检测基于网络的攻击。

安装在网络关键点，不需要改变服务器等主机的配置。以并联的方式接入网络，不影响网络性能。

简单易用。网络入侵检测系统的弱点：网络结构导致网络数据来源不充分，受交换环境影响。漏报和误报的矛盾。海量信息与分析代价的矛盾。

检测加密网络数据困难。二、入侵检测系统的分类基于网络的入侵检测系统（NIDS）44二、入侵检测系统的分类基于主机的入侵检测系统二、入侵检测系统的分类基于主机的入侵检测系统45二、入侵检测系统的分类基于主机的入侵检测主机入侵检测系统的优点：1)检测入侵误报率低2) 获取入侵信息详细3) 不受交换环境影响4) 监测系统内部入侵和违规操作5) 可以对本机进行防护和阻断主机入侵检测系统的弱点：

主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。

会影响保护设备的性能。安装管理麻烦。操作系统局限系统日志限制被修改过的系统核心能够骗过文件检查

二、入侵检测系统的分类基于主机的入侵检测46二、入侵检测系统的分类分布式入侵检测系统（DIDS）

二、入侵检测系统的分类分布式入侵检测系统（DIDS）47三、入侵检测系统技术原理检测技术基于特征（Signature-based）维护一个入侵特征知识库准确性高基于异常（Anomaly-based）统计模型专家系统误报较多三、入侵检测系统技术原理检测技术48三、入侵检测系统技术原理1、网络入侵检测安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载三、入侵检测系统技术原理1、网络入侵检测49三、入侵检测系统技术原理1、网络入侵检测系统技术原理黑客入侵的过程和阶段阶段3:攻击&资源控制·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternet阶段2:边界渗透·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·阶段1:踩点&扫描·

Scanning&probingAutomated网络入侵检测系统网络入侵检测系统三、入侵检测系统技术原理1、网络入侵检测系统技术原理阶段350三、入侵检测系统技术原理2、网络入侵检测系统技术原理InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNIDSNIDS三、入侵检测系统技术原理2、网络入侵检测系统技术原理Inte51三、入侵检测系统技术原理3、网络入侵检测系统技术原理工作原理InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：

包头信息+有效数据部分三、入侵检测系统技术原理3、网络入侵检测系统技术原理Inte52三、入侵检测系统技术原理4、网络入侵检测系统技术原理设计原理三、入侵检测系统技术原理4、网络入侵检测系统技术原理53三、入侵检测系统技术原理1、主机入侵检测安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源三、入侵检测系统技术原理1、主机入侵检测54三、入侵检测系统技术原理3、主机入侵检测系统技术原理Internet网络服务器1客户端网络服务器2X检测内容：

系统调用、设备监控、端口调用、系统日志、安全审记、应用日志、文件防护监控、注册表监控等。其它功能：个人版防火墙。特点：集中管理和报警。HIDSXHIDS工作原理三、入侵检测系统技术原理3、主机入侵检测系统技术原理Inte55三、入侵检测系统技术原理4、主机入侵检测系统技术原理设计原理三、入侵检测系统技术原理4、主机入侵检测系统技术原理56三、入侵检测系统技术原理1、分布式入侵检测系统技术原理设计原理三、入侵检测系统技术原理1、分布式入侵检测系统技术原理57三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报与技术水平相关与数据处理能力有关(不可避免)系统部署与维护与网络拓扑无关与网络拓扑相关检测规则少量大量检测特征事件与信号分析特征代码分析安全策略基本安全策略(点策略)运行安全策略(线策略)安全局限到达主机的所有事件传输中的非加密非保密信息安全隐患违规事件攻击方法或手段三、入侵检测系统技术原理项目HIDSNIDS误警无一定量漏报58四、入侵检测系统的布署

NIDS的位置必须要看到所有数据包共享媒介HUB交换环境隐蔽模式千兆网分布式结构SensorConsole四、入侵检测系统的布署NIDS的位置必须要看到所有数据包59四、入侵检测系统的布署

HUBIDSSensorMonitoredServersConsole共享媒介四、入侵检测系统的布署HUBIDSSensorMonit60四、入侵检测系统的布署

交换环境SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）四、入侵检测系统的布署交换环境SwitchIDSSens61四、入侵检测系统的布署

隐蔽模式SwitchIDSSensorMonitoredServersConsole不设IP四、入侵检测系统的布署隐蔽模式SwitchIDSSens62四、入侵检测系统的布署

千兆网络L4或L7交换设备四、入侵检测系统的布署千兆网络L4或L763五、入侵检测主要功能指标

在性能许可的前提下，尽可能选择功能最适合公司使用的入侵检测系统。在功能选择应该考虑下列一些：

自动检测类型广泛的攻击支持异常检测与统计检测等检测方法蠕虫检测功能提供自定义策略服务入侵检测功能检测分析功能入侵取证和入侵者身份确认功能升级功能远程集中管理功能日志安全存储功能报警功能网络流量分析功能与防火墙联动五、入侵检测主要功能指标 在性能许可的前提下，尽可能选择64五、入侵检测主要功能指标

察入侵检测产品性能主要考虑下列指标：检测入侵的种类和数量误报率和漏报率系统检测效率抗攻击能力五、入侵检测主要功能指标 察入侵检测产品性能主要考虑下列指标65六、入侵检测系统产品的选购

用户在选择入侵检测系统产品时需要注意以下事项：产品功能

检测入侵能力:入侵检测系统检测入侵能力方面主要考虑以下几点：自动识别类型广泛的攻击、支持异常检测与统计检测等检测方法、专用的蠕虫检测能力、策略自定义功能、内容检测、专用的针对服务器入侵检测能力等。响应和取证能力:入侵检测系统在响应和取证方面主要考虑以下几点：多种报警功能、入侵取证能力、入侵主机身份确认能力、安全设备联动能力、报警日志集中安全存储等。管理能力:入侵检测系统应支持集中式的安全管理。入侵检测系统管理员应能够有效管理检测引擎，管理功能主要有：配置检测引擎参数、配置文件下载上传、时间同步、管理口管理、远程重启和关闭检测引擎、模式库升级管理、检测引擎模块升级管理。并提供简单易用的串口管理功能。六、入侵检测系统产品的选购用户在66六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注意以下事项：产品功能

报表分析能力:支持管理、监视、控制和分析功能融合的图形化控制台。入侵检测系统应提供组合搜索分析入侵信息的能力，并能按事件分类生成实用的报表。六、入侵检测系统产品的选购用户在选择入侵检测系统产品时需要注67六、入侵检测系统产品的选购

用户在选择入侵检测产品时需要注意以下事项： 产品性能

检测入侵种类和规则数量误报率和漏报率抗攻击能力系统检测效率厂商专业性

随着新的入侵事件和新的蠕虫出现，厂