《工业互联网安全技术基础》课件- 25-02-入侵检测体系结构

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术入侵检测体系结构0102入侵检测系统组成入侵检测系统体系结构目录一、入侵检测系统组成1、入侵检测系统结构

由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。

从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能二、入侵检测系统体系结构1、入侵检测系统分类根据数据来源和系统结构分类二、入侵检测系统体系结构2、基于主机的入侵检测系统（HIDS） 2.1概述主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。除了对审计记录和日志文件的监测外，还有对特定端口、检验系统文件和数据文件的校验和。二、入侵检测系统体系结构2、基于主机的入侵检测系统（HIDS） 2.2相关介绍

收集信息：日志文件、系统调用、应用程序日志、系统资源、网络通信、用户使用等判断依据：CPU利用率、内存利用率、磁盘空间、端口使用、注册表、文件完整性、进程信息、系统调用检测行为：主机端口、漏洞扫描；重复登录失败；口令破解；账户添加；服务启停；系统重启；注册表修改；文件许可变化；异常调用；拒绝服务典型软件：SWATCH、Tripwire、网页防篡改系统优点能确定攻击是否成功。监控粒度更细。配置灵活。用于加密的以及交换的环境。对网络流量不敏感。不需要额外的硬件。缺点占用主机的资源缺乏平台支持可移植性差应用范围受到严重限制二、入侵检测系统体系结构2、基于主机的入侵检测系统（HIDS） 2.3主要特点二、入侵检测系统体系结构3、基于网络的入侵检测系统（NIDS）

3.1概述主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在混杂模式下的网卡来实时监控并分析通过网络的所有通信业务。二、入侵检测系统体系结构3、基于网络的入侵检测系统（NIDS）

3.2相关介绍原理：侦听网络系统，捕获网络数据包，依据网络包是否包含攻击特征，或网络通信流是否异常来识别入侵行为组成：探测器，管理控制器检测行为：同步风暴（SYNFlood）、DDoS、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问国外产品：SessionWall、ISSRealSecure、CiscoSecureIDS国内产品：东软、天融信、绿盟、华为开源软件：Snort优点监测速度快。隐蔽性好。视野更宽。较少的监测器。攻击者不易转移证据。操作系统无关性。缺点只能监视本网段的活动，精确度不高。在交换环境下难以配置。防入侵欺骗的能力较差。难以定位入侵者。二、入侵检测系统体系结构3、基于网络的入侵检测系统（NIDS）

3.3主要特点二、入侵检测系统体系结构4、分布式入侵检测系统

4.1为什么需要分布式入侵检测网络系统结构复杂化和大型化，带来入侵检测问题：系统漏洞分散于网络中各个主机，可能被组织起来攻击网络，仅依靠HIDS或NIDS无法发现入侵行为相互协作入侵检测依赖的数据来源分散，如涉及网络交换网络传输速度快，流量大，集中处理造成检测瓶颈二、入侵检测系统体系结构4、分布式入侵检测系统

4.2什么是分布式入侵检测基于主机检测的分布式入侵检测系统（HDIDS）主机探测器（Agent）入侵管理控制器基于网络的分布式入侵检测系统（NDIDS）网络探测器管理控制器二、入侵检测系统体系结构4、分布式入侵检测系统

4.3分布式表现

首先数据包过滤的工作由分布在各网络设备（包括联网主机）上的探测代理完成；

其次探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理，这