IDS
网络入侵检测IDS
传统的操作系统加固技术和防火墙隔离技术等是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与牲的研究使安全系统对入侵事件和入侵过能做出实时响应。
入侵检测:通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有安全策略的行为和被攻击的迹象。
入侵检测系统(IDS):入检测是软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。
特定网段的swich、hub上
实时检测
实时地监视、分析网络中所有的数据报文
发现并实时处理所捕获数据报文
安全审计
对系统记录的网络事件进行统计分析
发现异常现象
得出系统的安全状态,找出所需要的证据
主动响应
主动切断连接或与防火墙联动,调用其他程序处理。
入侵检测的分类
根据所采用的技术可以分为:
1.异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的”活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为.
2.特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体是否符合这些模式。
根据所监测的对象来分:
1.基于主机的入侵检测系统HIDS 成本高,部署复杂,管理麻烦 加密包可以检测
2.基于网络的入侵检测系统NIDS 成本低,部署简单,管理方便,加密包不能检测
系统的工作方式分为:
1.离线检测系统
2.在线检测系统 (IPS=防火墙+IDS)
信息收集
第一步信息收集,包括系统、网络、数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出终点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
1.系统和网络日志文件
2.目录和文件中的不期望的改变
3.程序执行中的不期望行为
4.物理形式的入侵信息
对收集到的上述四类信息,通过三种技术手段进行分析:
1.模式匹配:用于实时的入侵检测
入侵特征库(需要更新)
2.统计分析:用于实时的入侵检测
假设入侵者异常于正常主体的活动
制订主体正常活动的“活动阀值”
检测到的活动与“活动阀值”相比较
是否会把统计规律
3.完整性分析:用于事后分析
IDS在网络中的布置
CISCO:netranger
Intrusion Detection 公司 - Kame security Monitor
Axent Technologies公司 -OmniGuard/intruder Alert
Internet Security system公司 RealSecure
NFR公司 Intrusion DETEction appliance4.0
中科网威 - 天眼
启明星辰 SkyBell 天阗
免费开源软件:snort
绿盟:冰之眼
瑞星:rids-100
理工先河:
海信:眼镜蛇
在交换机上启用端口镜像
CA ETrust 实现网络入侵检测
