入侵检测技术设计.pptVIP

网络安全现状浅析 病毒问题 非法访问和破坏（“黑客”攻击） 网络的缺陷及软件的漏洞或“后门” 管理的欠缺 病毒问题 从单机病毒到网络病毒； 目前全球已发现5万余种病毒，并且还在以每天10余种的速度增长； 特洛伊木马（Trojan Horse）和蠕虫（Worms）问题。 非法访问和破坏（“黑客”攻击） 计算机技术的高速发展使得黑客攻击技术也越来越高明； 黑客活动几乎覆盖了所有的操作系统，包括UNIX、Windows、VMS以及MVS等。黑客攻击比病毒破坏更具目的性，因而也更具危害性； 全球平均每20秒就有一个网站遭到黑客攻击。 网络的缺陷及软件的漏洞或“后门” 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性； 常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％-85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。此外，管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。 网络安全解决方案实例 入侵检测系统 为什么要入侵检测系统 入侵检测系统实现原理 评价入侵检测系统的指标 入侵检测系统技术介绍 为什么要入侵检测 为什么要入侵检测 入侵 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统 该系统从多种计算机系统及网络中收集信息，再从这些信息分析入侵及误用特征 为什么要入侵检测 为什么要入侵检测 为什么要入侵检测 网上银行和外联网络 建立入侵检测机制，预警和防御外部入侵 向客户和合作伙伴提供信心和保证 业务系统 定义关注内容，可以检测内部越权访问 定义专有事件，防止基于业务的攻击 办公系统 内置网络病毒蠕虫特征，从而有效检测网络病毒来源 检测网络游戏，提高上班工作效率 介绍提纲 为什么要入侵检测 入侵检测系统实现原理 评价入侵检测系统的指标 入侵检测系统技术介绍 入侵检测系统实现原理 入侵检测系统实现原理 控制中心 表现方式：软件 功能： 接收事件 策略下发 日志记录与分析 事件库升级 探测引擎 表现方式：硬件/软件 功能： 抓包 分析数据 上报事件 入侵检测系统实现原理 基于知识的检测（滥用） 模式匹配 协议分析 行为关联分析 基于行为的检测（异常） 神经网络 概率统计 模式匹配 协议分析 入侵检测系统实现原理 入侵检测系统实现原理 介绍提纲 为什么要入侵检测 入侵检测系统实现原理 评价入侵检测系统的指标 入侵检测系统技术介绍 评价入侵检测系统的指标 评价入侵检测系统的指标 关键：漏报率和误报率及处理带宽 检测方法： 模式匹配 协议分析 基于行为的检测 处理带宽 抓包能力 处理能力 检测算法 评价入侵检测系统的指标 响应方式的多样性 告警方式的多样性 保护方式的多样性 响应方式的灵活性 响应方式的配置灵活 响应方式的改变灵活 响应方式的有效性 响应方式的及时生效 响应方式的自动执行 评价入侵检测系统的指标 入侵和漏洞的关联性 入侵成功和漏洞存在具有对应性 检测策略和漏洞分布具有相关性 网络和主机的关联性 网络攻击的部分最终目标是重要主机 网络检测和主机检测之间是互为补充 入侵管理综合分析报告 入侵信息报告 漏洞分析报告 关联分析报告 评价入侵检测系统的指标 通讯安全 身份认证 数据加密 探测引擎 IP地址透明性 自身操作系统的安全性 自身程序安全性 抗打击能力 控制中心 权限访问控制 通用操作系统的安全性 程序的稳定性 评价入侵检测系统的指标 入侵特征的发展变化 新的入侵方式不断出现 旧的入侵方式逐渐淘汰 入侵检测技术的发展变化 入侵识别技术的不断提高 检测支撑技术的不断优化 入侵检测离不开良好的安全服务 入侵检测与应急响应紧密结合 入侵检测需要客户化的安全服务 介绍提纲 为什么要入侵检测 入侵检测系统实现原理 评价入侵检测系统的指标 入侵检测系统技术介绍 网络入侵检测系统组成 IDS入侵检测系统 IDS的四大功能 检测和发现