归纳chap4-02-入侵检测技术.ppt

IDS的发展史 ? 1990年， Heberlein等人提出基于网络的入侵检测 —— NSM(Network Security Monitor)， NSM可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为。 ? 1991年，分布式入侵检测系统（DIDS）的研究，将基 于主机和基于网络的检测方法集成到一起。 DIDS是分 布式入侵检测系统历史上的一个里程碑式的产品，它 的检测模型采用了分层结构，包括数据、事件、主体、 上下文、威胁、安全状态等 6层。 .......... * IDS的发展史 ? 1994年，Mark Crosbie 和Gene Spafford建议 使用自治 代理 (Autonomous Agents)以便提高 IDS的可伸缩性、 可维护性、效率和容错性。 ? 1995年， IDES后续版本──NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵。 ? 1996年， GRIDS(Graph-based Intrusion Detection System)设计和实现 解决了入侵检测系统伸缩性不足的 问题，使得对大规模自动或协同攻击的检测更为便利。 Forrest 等人将免疫原理用到分布式入侵检测领域 .......... * IDS的发展史 ? ? ? 1997年， Mark crosbie 和 Gene Spafford将 遗传算法运用到入侵检 测中。 1998年， Ross Anderson和 Abida Khattak将 信息检索技术引进到 了入侵检测系统。 中国的IDS也得到了长足的发展。据 IDC的报告， 2000年中国安全 市场中， IDS与评估软件占了 19%的份额。 IDC在 2001年 4月的调 查显示，用户接下来对网络安全产品的需求中，对 IDS的需求占 到了 18.5%。从厂商方面来说，从 1999年前后，国外一些软件商 开始将其 IDS引入到国内，如安氏、 CA、 NAI、赛门铁克等。国 内如冠群金辰、金诺网安 等也占据着该市场的较大份额。 .......... * IDS的功能与作用 ? 防火墙明显的不足和弱点 – 防火墙不能防范如TCP、 IP等本身存在的协议漏洞 – 无法解决安全后门问题； – 不能阻止网络内部攻击，而调查发现， 80％以上的 攻击都来自内部，对于企业内部心怀不满的员工来 说，防火墙形同虚设； – 不能提供实时入侵检测能力，而这一点，对于现在 层出不穷的攻击技术来说是至关重要的； – 对于病毒等束手无策。 .......... * IDS的功能与作用 ? 识别黑客常用入侵与攻击手段。入侵检测系统通过分析各种 攻击特征，可以全面快速地识别探测攻击、拒绝服务攻击、 缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻 击手段，并做相应的防范和向管理员发出警告 ? 监控网络异常通信。 IDS系统会对网络中不正常的通信连接 做出反应，保证网络通信的合法性；任何不符合网络安全策 略的网络数据都会被 IDS侦测到并警告。 .......... * IDS的功能与作用 ? 鉴别对系统漏洞及后门的利用 。 ? 完善网络安全管理。 IDS通过对攻击或入侵的 检测及反应，可以有效地发现和防止大部分的 网络入侵或攻击行为，给网络安全管理提供了 一个集中、方便、有效的工具。使用IDS系统 的监测、统计分析、报表功能，可以进一步完 善网管。 .......... * IDS的功能与作用 ? IDS只能位于第二安全防线 – IDS仅仅是一种实时监控报警工具，虽能够在检测到非法访 问时自动报警，但其本身无法防范攻击行为的发生； – 不能将IDS与如防病毒或防火墙产品混淆在一起。 – IDS一般 无法实现精确的攻击检测，可能会出现 误报现象。 – 目前IDS面临的最主要的挑战之一是检测速度太慢 。大多数 IDS系统在不牺牲检测速度的前提下，会无法处理百兆位网 络满负荷时的数据量，而千兆位更是难以企及的目标。 .......... * 技术分类 ? 根据入侵检测的时序 – 实时入侵检测 。实时入侵检测在网络连接过程中进行，系统 根据用户的历史行为模型、存储在计算机中的专家知识以及 神经网络模型对用户当前的操作进行判断，一旦发现入侵迹 象立即断开入侵者与主机的连接，并收集证据和实施数据恢 复，这个检测过程是不断循环进行的。 – 事后入侵检测 。事后入侵检测需要由网络管理人员进行，他 们具有网络安全的专业知识，根据计算机系统对用户操作所 做的历史审计记录