文档介绍:本文由 yiyubin2008 贡献 ppt 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT ,或下载源文件到本机查看。 IDS 与 IPS IDS ——(入侵检测系统) IPS ——(入侵防御系统) 学习内容如下: 什么是入侵检测系统及主要类型主要 IDS 技术主要 IDS 模型及各自特点 IDS 工作原理 IPS 工作原理 IPS 的分类 IDS 的主要不足和 IPS 的主要优势防火墙、 IDS 和 IPS 比较 1 入侵检测简介什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件, 根据规则进行安全审计的软件或硬件系统。生的事件,根据规则进行安全审计的软件或硬件系统。入侵检测系统的工作原理 1) 信息收集信息收集(1) 系统和网络日志文件(2) 目录和文件中的不期望的改变(3) 程序执行中的不期望行为(4) 物理形式的入侵信息 2) 信号分析信号分析(1) 模式匹配: 模式匹配: 模式匹配(2) 统计分析统计分析(3) 完整性分析完整性分析2 入侵检测的任务检测来自内部的攻击事件和越权访问– 85 %以上的攻击事件来自于内部的攻击%–防火墙只能防外, 难于防内防火墙只能防外, 入侵检测系统作为防火墙系统的一个有效的补充–入侵检测系统可以有效的防范防火墙开放的服务入侵–通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击或滥用网络通过事先发现风险来阻止入侵事件的发生, 系统的人员。系统的人员。–检测其它安全工具没有发现的网络工具事件。检测其它安全工具没有发现的网络工具事件。–提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网提供有效的审计信息, 详细记录黑客的入侵过程, 络的脆弱性。络的脆弱性。–网络中可被入侵者利用的资源–在一些大型的网络中,管理员没有时间跟踪系统漏洞并且安装相应的系统在一些大型的网络中, 补丁程序。补丁程序。–用户和管理员在配置和使用系统中的失误。用户和管理员在配置和使用系统中的失误。 3–对于一些存在安全漏洞的服务、协议和软件, 用户有时候不得不使用。对于一些存在安全漏洞的服务、协议和软件,用户有时候不得不使用。入侵检测系统的分类 1) 按照入侵检测系统的数据来源划分按照入侵检测系统的数据来源划分①基于主机的入侵检测系统②基于网络的入侵检测系统③采用上述两种数据来源的分布式的入侵检测系统 2) 按照入侵检测系统采用的检测方法来分类按照入侵检测系统采用的检测方法来分类①基于行为的入侵检测系统②基于模型推理的入侵检测系统③采用两者混合检测的入侵检测系统 3) 按照入侵检测的时间的分类按照入侵检测的时间的分类①实时入侵检测系统②事后入侵检测系统 4 入侵检测系统的 CIDF 模型入侵检测系统的模型 C-box 输出:对事件的反应通用入侵检测框架( CIDF ) 是由美国) 输出: 高层、经加州大学 Davis 分校的加州大学分校的安全实验室提出的框架。安全实验室提出的框架。解释的事件 CIDF 从逻辑上把从逻辑上把 A-box IDS 分成面向任务的一分成面向任务的一个组件集合, 个组件集合, 这些组件一起定义了入侵检测系统的结构。统的结构。这些组件包括: 这些组件包括: 事件发生器(E-boxes) 事件发生器分析引擎(A-boxes) 分析引擎存贮机制(D-boxes) 存贮机制对抗措施(C-boxes) 对抗措施输出:事件存贮 D-box E-box 输出:新的或低层事件 CIDF 组件关系组件关系 5 工作过程收集信息数据分析响应 6 入侵检测系统构件响应单元输出:高级中断事件输出:反应或事件输出:事件的存储信息事件分析器事件数据库输出:原始或低级事件事件产生器输入:原始事件源 7 入侵检测系统构件事件产生器(Event generators)(E-box) 事件产生器事件产生器的目的是从整个计算环境中获得事件, 事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件事件分析器(Event analyzers)(A-box) 事件分析器事件分析器分析得到的数据, 事件分析器分析得到的数据,并产生分析结果响应单元(Response units)(C-box) 响应单元响应单元则是对分析结果作出作出反应的功能单元, 它可以作出切响应单元则是对分析结果作出作出反应的功能单元, 断连接、改变文件属性等强烈反应, 甚至发动对攻击者的反击甚至发动对攻击者的反击, 断连接、改变文件属性等强烈反应甚至发动对攻击者的反击, 也可以只是简单的报警事件数据库(Event databases)(D-box) 事件数据库事件数据库是存放各种中间和最终数据的地方的统称, 事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库, 杂的数据库,也可以是