網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件

12五月2024網(wǎng)絡(luò)安全技術(shù)培訓(xùn)為什么需要IDS(intrusionDetectionSystem)IDS的發(fā)展歷程IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的發(fā)展入侵檢測系統(tǒng)什么是入侵檢測入侵對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程實(shí)時(shí)監(jiān)測入侵行為防火墻的局限%c1%1c%c1%1cDirc:\防火墻的局限防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的安全,就要對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測,這就需要IDS無時(shí)不在的防護(hù)！為什么需要IDSIDS的作用及相關(guān)術(shù)語IDS發(fā)展歷程IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的發(fā)展入侵檢測系統(tǒng)監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)作用從不知到有知從被動(dòng)到主動(dòng)從事后到事前從預(yù)警到保障全面監(jiān)測、及時(shí)響應(yīng)加強(qiáng)管理、提高威懾總結(jié)教訓(xùn)、優(yōu)化策略預(yù)警機(jī)制、保障意識(shí)入侵檢測系統(tǒng)作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)審計(jì)跟蹤falsepositives（虛警）檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱為虛警。檢測系統(tǒng)在檢測過程中出現(xiàn)虛警的概率稱為系統(tǒng)的虛警率falsenegatives（漏警）檢測系統(tǒng)在檢測時(shí)把某些入侵行為判為正常行為的錯(cuò)誤現(xiàn)象稱為漏警。檢測系統(tǒng)在檢測過程中出現(xiàn)漏警的概率稱為系統(tǒng)的漏警率入侵檢測相關(guān)術(shù)語入侵檢測相關(guān)術(shù)語PatternMatchingSignature模式匹配CommonIntrusionDetectionFrame組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）響應(yīng)單元（Responseunits）事件數(shù)據(jù)庫（Eventdatabases）Honeypot(蜜罐)

蜜罐是可以模擬脆弱性主機(jī)誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對(duì)真正目標(biāo)的攻擊為什么需要IDSIDS的作用及相關(guān)術(shù)語IDS發(fā)展歷程IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS的發(fā)展入侵檢測系統(tǒng)IDS發(fā)展歷程1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測的概念。從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL（SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）。1988年，SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個(gè)IDES1990年是入侵檢測系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）。

為什么需要IDS(intrusionDetectionSystem)IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的發(fā)展入侵檢測系統(tǒng)主機(jī)IDS運(yùn)行于被檢測的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。其監(jiān)測的資源主要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等

主機(jī)IDS網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。網(wǎng)絡(luò)IDS與主機(jī)IDS區(qū)別成本較低檢測基于主機(jī)的系統(tǒng)漏掉的攻擊攻擊者不易轉(zhuǎn)移證據(jù)操作系統(tǒng)無關(guān)性檢測未成功的攻擊和不良意圖安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽操作系統(tǒng)無關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS與主機(jī)IDS區(qū)別安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源不要求額外的硬件設(shè)備

確定攻擊是否成功適用被加密的和交換的環(huán)境主機(jī)IDSIDS的基本結(jié)構(gòu)實(shí)現(xiàn)主機(jī)引擎功能原理網(wǎng)絡(luò)檢測防護(hù)模塊文件檢測防護(hù)模塊注冊表檢測防護(hù)模塊IIS檢測防護(hù)模塊安全日志檢測模塊應(yīng)用日志檢測模塊檢測策略事件定義告警日志日志文件日志庫數(shù)據(jù)庫告警界面配置界面郵件告警手機(jī)告警報(bào)告主機(jī)引擎控制中心控制命令交互反饋網(wǎng)絡(luò)引擎原理抓包口分析處理事件處理事件響應(yīng)定時(shí)上報(bào)實(shí)時(shí)上報(bào)狀態(tài)監(jiān)控通訊口控制中心引擎操作系統(tǒng)聯(lián)動(dòng)口策略串口引擎配置接收策略下發(fā)控制中心功能通訊口父控中心子控中心數(shù)據(jù)庫界面顯示日志告警通告自身管理引擎管理日志分析管理員報(bào)表原始報(bào)文基于通用操作系統(tǒng)流量子控管理策略管理用戶管理流量告警事件告警流量值為什么需要IDS(intrusionDetectionSystem)IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的發(fā)展入侵檢測系統(tǒng)IDS實(shí)現(xiàn)技術(shù)濫用檢測技術(shù)（基于知識(shí)的檢測）異常檢測技術(shù)（基于行為的檢測）基于知識(shí)的檢測（1）

基于知識(shí)的檢測指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象?；谥R(shí)的檢測也被稱為違規(guī)檢測(MisuseDetection)。這種方法由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度很高，并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。

基于知識(shí)的入侵檢測（2）主要實(shí)現(xiàn)技術(shù)：基于知識(shí)的入侵檢測系統(tǒng)只是在表示入侵模式（知識(shí)）的方式以及在系統(tǒng)的審計(jì)跡中檢查入侵模式的機(jī)制上有所區(qū)別。專家系統(tǒng)（早期系統(tǒng)IDES、NIDES、W&S等）。入侵簽名分析，由于這種技術(shù)在實(shí)現(xiàn)上簡單有效，現(xiàn)有的商用入侵檢測系統(tǒng)產(chǎn)品中多采用這種技術(shù)。狀態(tài)遷移分析（USTAT）模式匹配，SandeepKumar設(shè)計(jì)的模式匹配檢測模型中，使用CPN（ColoredPetriNetwork）來描述入侵者的攻擊模式。基于知識(shí)的檢測--專家系統(tǒng)

將有關(guān)入侵的知識(shí)轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。當(dāng)其中某個(gè)或某部分條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。

基于知識(shí)的檢測---模型匹配

模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù)這些知識(shí)建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于知識(shí)的檢測--狀態(tài)轉(zhuǎn)換分析

狀態(tài)轉(zhuǎn)換法將入侵過程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。Petri網(wǎng)分析一分鐘內(nèi)4次登錄失敗

協(xié)議分析的優(yōu)點(diǎn)●提高了性能：協(xié)議分析利用已知結(jié)構(gòu)的通信協(xié)議，與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)幀和連接時(shí)更迅速、有效?！裉岣吡藴?zhǔn)確性：與非智能化的模式匹配相比，協(xié)議分析減少了虛警和誤判的可能性，命令解析（語法分析）和協(xié)議解碼技術(shù)的結(jié)合，在命令字符串到達(dá)操作系統(tǒng)或應(yīng)用程序之前，模擬它的執(zhí)行，以確定它是否具有惡意。●基于狀態(tài)的分析：當(dāng)協(xié)議分析入侵檢測系統(tǒng)引擎評(píng)估某個(gè)包時(shí)，它考慮了在這之前相關(guān)的數(shù)據(jù)包內(nèi)容，以及接下來可能出現(xiàn)的數(shù)據(jù)包。與此相反，模式匹配入侵檢測系統(tǒng)孤立地考察每個(gè)數(shù)據(jù)包?！穹匆?guī)避能力：因?yàn)閰f(xié)議分析入侵檢測系統(tǒng)具有判別通信行為真實(shí)意圖的能力，它較少地受到黑客所用的像URL編碼、干擾信息、TCP/IP分片等入侵檢測系統(tǒng)規(guī)避技術(shù)的影響?！裣到y(tǒng)資源開銷?。簠f(xié)議分析入侵檢測系統(tǒng)的高效性降低了在網(wǎng)絡(luò)和主機(jī)探測中的資源開銷，而模式匹配技術(shù)卻是個(gè)可怕的系統(tǒng)資源消費(fèi)者。協(xié)議分析00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage

60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于知識(shí)的入侵檢測（3）優(yōu)點(diǎn)可檢測出所有對(duì)系統(tǒng)來說是已知的入侵行為系統(tǒng)安全管理員能夠很容易地知道系統(tǒng)遭受到的是那種入侵攻擊并采取相應(yīng)的行動(dòng)局限：它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。系統(tǒng)運(yùn)行的環(huán)境與知識(shí)庫中關(guān)于攻擊的知識(shí)有關(guān)。對(duì)于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為，由于他們沒有利用系統(tǒng)的缺陷，因而很難檢測出來。IDS分析方式濫用檢測技術(shù)（基于知識(shí)的檢測）異常檢測技術(shù)（基于行為的檢測）基于行為的檢測（1）基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(AnomalyDetection)。與系統(tǒng)相對(duì)無關(guān)，通用性強(qiáng)能檢測出新的攻擊方法誤檢率較高Denning早在1986年就提出了一個(gè)基于行為的入侵檢測系統(tǒng)模型[Denning87]。基于行為的入侵檢測（2）實(shí)現(xiàn)技術(shù)統(tǒng)計(jì)，典型系統(tǒng)如：SRI的NIDES。利用統(tǒng)計(jì)理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計(jì)性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來描述。神經(jīng)網(wǎng)絡(luò)只要提供系統(tǒng)的審計(jì)跡數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學(xué)習(xí)從中提取正常的用戶或系統(tǒng)活動(dòng)的特征模式；而不需要獲取描述用戶行為特征的特征集以及用戶行為特征測度的統(tǒng)計(jì)分布?；谛袨榈臋z測--概率統(tǒng)計(jì)方法

操作密度審計(jì)記錄分布范疇尺度數(shù)值尺度記錄的具體操作包括：CPU的使用，I/O的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡(luò)上活動(dòng)等?；谛袨榈臋z測--神經(jīng)網(wǎng)絡(luò)方法基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。當(dāng)前命令和剛過去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。

神經(jīng)網(wǎng)絡(luò)檢測思想基于行為的入侵檢測（3）優(yōu)點(diǎn)不需要操作系統(tǒng)及其安全性缺陷專門知識(shí)能有效檢測出冒充合法用戶的入侵缺點(diǎn)為用戶建立正常行為模式的特征輪廓和對(duì)用戶活動(dòng)的異常性報(bào)警的門限值的確定都比較困難不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性有經(jīng)驗(yàn)的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?。檢測實(shí)例老版本的Sendmail有一個(gè)漏洞，telnet到25端口，輸入wiz，然后接著輸入shell，就能獲得一個(gè)rootshell，還有輸入debug命令，也能獲得root權(quán)限，進(jìn)而控制系統(tǒng)。$telnet25WIZshell或者DEBUG#直接獲得rootshell！簡單的匹配檢查每個(gè)packet是否包含： “WIZ” |“DEBUG”檢查端口號(hào)縮小匹配范圍Port25:{ “WIZ” |“DEBUG”}深入決策樹只判斷客戶端發(fā)送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}更加深入狀態(tài)檢測+引向異常的分支Port25:{ statefulclient-sends:“WIZ”| statefulclient-sends:“DEBUG” afterstateful“DATA”client-sends line>1024bytesmeans possiblebufferoverflow}為什么需要IDS(intrusionDetectionSystem)IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS的事件分析IDS的發(fā)展入侵檢測系統(tǒng)共享環(huán)境HUBIDS探測器被監(jiān)測機(jī)器控制臺(tái)交換機(jī)IDS探測器被監(jiān)測機(jī)器控制臺(tái)通過端口鏡像實(shí)現(xiàn)交換環(huán)境為什么需要IDS(intrusionDetectionSystem)IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的發(fā)展入侵檢測系統(tǒng)IDS性能指標(biāo)系統(tǒng)結(jié)構(gòu)管理模式通訊安全處理帶寬檢測能力事件響應(yīng)自身安全策略靈活性自定義事件事件庫更新易用性綜合分析事件數(shù)量

結(jié)構(gòu)：探測引擎:控制臺(tái)：IDS性能指標(biāo)—結(jié)構(gòu)主要網(wǎng)絡(luò)入侵檢測系統(tǒng)路由器主控中心服務(wù)器各地網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)更新Policy各地網(wǎng)絡(luò)子控中心子控中心MessageMessageMessage集中報(bào)告PolicyPolicyPolicy管理體系IDS性能指標(biāo)—結(jié)構(gòu)（主控）（子控）（子控）重慶大連西安上海北京攻擊報(bào)警預(yù)警預(yù)警預(yù)警管理體系IDS性能指標(biāo)—結(jié)構(gòu)控制中心探測引擎控制中心請求應(yīng)答請求？傳輸數(shù)據(jù)是明文還是密文？通訊安全I(xiàn)DS性能指標(biāo)—探測引擎抓包能力分析能力分析算法處理帶寬IDS性能指標(biāo)—探測引擎檢測和發(fā)現(xiàn)外部入侵的行為信息探測行為—如：端口掃描攻擊嘗試行為—如：暴力猜解權(quán)限突破行為—如：緩沖區(qū)溢出入侵植入行為—如：木馬植入拒絕服務(wù)行為—如：Flood攻擊檢測能力IDS性能指標(biāo)—探測引擎Internet110010101100010101000010101(attack)分片、亂序(tatkca)000010101100010101110010101110010101100010101000010101重組接收數(shù)據(jù)(attack)被攻擊攻擊攻擊特征報(bào)警檢測能力IDS性能指標(biāo)—探測引擎檢測和發(fā)現(xiàn)內(nèi)部誤用的行為越權(quán)訪問敏感信息業(yè)務(wù)攻擊網(wǎng)絡(luò)游戲檢測和發(fā)現(xiàn)網(wǎng)絡(luò)的異常狀況異常流量變化網(wǎng)絡(luò)病毒傳播網(wǎng)絡(luò)業(yè)務(wù)故障檢測能力IDS性能指標(biāo)—探測引擎被動(dòng)屏幕告警郵件告警手機(jī)告警聲音告警SNMP告警自定義告警主動(dòng)-IDS自身阻斷-與防火墻聯(lián)動(dòng)-與Scanner聯(lián)動(dòng)響應(yīng)方式IDS性能指標(biāo)—探測引擎與漏洞掃描產(chǎn)品的聯(lián)動(dòng)IDS主動(dòng)IDS發(fā)現(xiàn)攻擊，調(diào)用SCANNER進(jìn)行驗(yàn)證SCANNER將驗(yàn)證結(jié)果反饋給IDSSCANNER主動(dòng)SCANNER掃描，產(chǎn)生結(jié)果提交IDS生成優(yōu)化策略，提高報(bào)警有效性響應(yīng)方式IDS性能指標(biāo)—探測引擎HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)InternetIDS發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等SCANNER系統(tǒng)脆弱報(bào)告攻擊響應(yīng)方式IDS性能指標(biāo)—探測引擎自身安全自身操作系統(tǒng)的安全自身程序的安全地址透明度抗打擊能力IDS性能指標(biāo)—控制中心日志分析IDS性能指標(biāo)—控制中心關(guān)聯(lián)分析中心入侵檢測報(bào)告綜合安全報(bào)告掃描器日志主機(jī)IDS日志網(wǎng)絡(luò)IDS日志數(shù)據(jù)庫綜合分析IDS性能指標(biāo)—控制中心分析結(jié)論：從事件分布可以看出主要事件有三種；Codered和Codeblue是內(nèi)網(wǎng)的病毒事件、HTTPIISUnicode由外部發(fā)起目標(biāo)主要針對(duì)210.75.220.X和210.75.220.Y；經(jīng)過掃描驗(yàn)證，210.75.220.x不存在Unicode漏洞，只是一種攻擊企圖。而210.75.220.Y存在Unicode漏洞，并且病毒事件也是由這臺(tái)主機(jī)造成的；應(yīng)該對(duì)210.75.220.Y進(jìn)行加固，修補(bǔ)漏洞，同時(shí)清除內(nèi)網(wǎng)的病毒傳播；綜合分析IDS性能指標(biāo)—控制中心單行為事件演示TCP_Doly后門連接TCP[ustr.0]^%57%74%7a%75%70%20%55%73%65&sport=6789行為關(guān)聯(lián)事件演示FTP_口令掃描FTP_注冊失敗num(event,sip,dip)>10HTTP_ftp文件調(diào)用HTTP_讀命令num(event=FTP_寫命令,sip,dip)>1自定義事件為什么需要IDS(intrusionDetectionSystem)IDS的作用及相關(guān)術(shù)語IDS的實(shí)現(xiàn)方式IDS的實(shí)現(xiàn)技術(shù)IDS的部署IDS的性能指標(biāo)IDS事件分析IDS的