您的位置:360文档中心› 入侵检测系统通用技术要求

入侵检测系统通用技术要求

合集下载

入侵检测系统

入侵检测系统

入侵检测系统1. 引言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。

作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。

依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。

据统计,全球80%以上的入侵来自于内部。

由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。

入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。

在入侵攻击过程中,能减少入侵攻击所造成的损失。

在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。

入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。

如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。

虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。

2. 入侵检测的概念和系统结构2.1 入侵检测的概念入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。

使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称IDS。

入侵检测

入侵检测

3.2 误用检测技术——基于知识的检测
1. 误用检测技术入侵检测系统的基本原理 误用检测技术(Misuse Detection)也称为基于知 识的检测技术或者模式匹配检测技术。它的前提是 假设所有的网络攻击行为和方法都具有一定的模式 或特征,如果把以往发现的所有网络攻击的特征总 结出来并建立一个入侵信息库,那么入侵检测系统 可以将当前捕获到的网络行为特征与入侵信息库中 的特征信息相比较,如果匹配,则当前行为就被认 定为入侵行为。
3.3 异常检测技术和误用检测技术的比较
无论哪种入侵检测技术都需要搜集总结有关网络入 侵行为的各种知识,或者系统及其用户的各种行为 的知识。基于异常检测技术的入侵检测系统如果想 检测到所有的网络入侵行为,必须掌握被保护系统 已知行为和预期行为的所有信息,这一点实际上无 法做到,因此入侵检测系统必须不断地学习并更新 已有的行为轮廓。
5.1 基于网络入侵检测系统的部署
基于网络的入侵检测系统可以在网络的多个位置进 行部署。这里的部署主要指对网络入侵检测器的部 署。根据检测器部署位置的不同,入侵检测系统具 有不同的工作特点。用户需要根据自己的网络环境 以及安全需求进行网络部署,以达到预定的网络安 全需求。总体来说,入侵检测的部署点可以划分为 4个位置: ①DMZ区、②外网入口、③内网主干、 ④关键子网,如图3入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的设置 入侵检测系统的部署 入侵检测系统的有点与局限性
1 入侵检测系统概述
1.1 入侵检测的概念
入侵检测是从计算机网络或计算机系统中的若干关 键点搜集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为和遭到袭击的迹象 的一种机制。入侵检测系统的英文缩写是IDS (Intrusion Detection System),它使用入侵检测 技术对网络与其上的系统进行监视,并根据监视结 果进行不同的安全动作,最大限度地降低可能的入 侵危害。

入侵检测的评估与标准(一)

入侵检测的评估与标准(一)

入侵检测的评估与标准(一)入侵检测的评估与标准1. 引言•入侵检测系统(Intrusion Detection System, IDS)是网络安全防护的重要组成部分之一。

•评估和标准对于确保入侵检测系统的可靠性和有效性非常重要。

2. 评估原则•评估入侵检测系统应该遵循以下原则:1.全面性:评估覆盖所有可能的入侵方法和技术。

2.实用性:评估结果能够为实际防御提供有效的指导和建议。

3.客观性:评估结果应基于客观的数据和准确的测试过程。

4.可复现性:评估过程应可重复进行,以确保结果的准确性。

3. 评估方法•常用的入侵检测系统评估方法包括:1.基准测试:通过使用已知的攻击模式和漏洞来评估系统的检测能力。

2.模拟攻击:利用模拟工具模拟各种攻击行为,测试系统的检测和响应能力。

3.实战测试:在真实网络环境中进行测试,检验系统对真实威胁的识别和响应能力。

4.安全漏洞扫描:通过扫描系统中的漏洞,评估系统的漏洞管理和修复能力。

4. 评估指标•在评估入侵检测系统时,可以考虑以下指标:1.准确率:系统正确识别和报警的比例。

2.假阳性率:系统错误地将正常行为误报为入侵行为的比例。

3.检测率:系统成功检测到的入侵事件的比例。

4.响应时间:系统发现入侵事件后采取相应措施所需的时间。

5.可伸缩性:系统在大规模网络环境下的工作能力和性能。

5. 入侵检测标准•国际上常用的入侵检测标准包括:1.入侵检测评估计划(Intrusion Detection EvaluationPlan, IDEP):提供评估方法和工具,用于评估入侵检测系统的性能和效果。

2.入侵检测评估准则(Intrusion Detection EvaluationCriteria, IDEC):定义了评估入侵检测系统所需满足的基本要求和性能标准。

3.入侵检测功能要求(Intrusion Detection FunctionalRequirements, IDFR):规定了入侵检测系统应具备的基本功能和能力。

入侵检测技术

入侵检测技术

管理控制台
响应单元
事件分析器
事件数据库
事件产生器 用于 事后分析
• 作用是从整个计算环境中收集信息; • 信息收集包括收集:系统、网络、 数据及用户活动的状态和行为; • 并在不同关键点(不同网段和不同 主机)收集;
入侵检测系统的功能
入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动 态的安全检测技术。 一个合格的入侵检测系统应具备以下功能: 1. 监视用户和系统的运行状况,查找非法和合法用户的越权操作; 2. 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
基于主机的入侵检测系统的优点
– –
检测准确率高(精确地判断攻击行为是否成功) 适用于加密及交换环境


近于实时的检测和响应
不要求额外的硬件设备


能够检查到基于网络的系统检查不出的攻击
监视特定的系统活动(主机上特定用户)
基于主机的入侵检测系统的缺 点

HIDS依赖性强(系统必须是特定的,没有遭到破 坏的操作系统中才能正常工作)
它从计算机网络系统中的若干关键点收集信息,并分析这些信息;
根据信息来源不同,IDS可分为:

基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS)

基于主机的入侵检测系统

入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息,发现不安全的行为后采取相 应的措施
入侵检测系统的作用和目的
… …
• • • •
交换机
智能发现攻击 记录并发出报警信息 启动响应动作 审计跟踪
Internet
内部网

入侵检测技术

入侵检测技术
3.入侵检测系统的需求特性 1)可靠性: 2)适应性:检测系统必须能随时追踪系统环境的改变。 3)有效性:能检测系统的报告错误或漏报控制在一定的范围内。 4)安全性:检测系统必须难于被欺骗,能够保护自身的安全。 5)容错性:检测系统的容错要求即使在系统崩溃的情况下,检测 系统仍能保留下来。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。

第9章 入侵检测技术

第9章 入侵检测技术

9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
1997年,Ross Anderson和Abida Khattak将信息检索技 术引进到了入侵检测领域。 1998年,W.Lee首次提出了运用数据挖掘技术对审计数据进 行处理。 1999年,Steven Cheung等人又提出了入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术。 2000年,Timm Bass提出了数据融合(Data Fusion)的 概念,将分布式入侵检测理解为在层次化模型下对多感应器的数 据综合问题。
该技术的关键是如何表达入侵的模式,把真正 的入侵行为与正常行为区分开来,因此入侵模式表 达的好坏直接影响入侵检测的能力。
优点:误报少; 缺点:只能发现攻击库中已知的攻击,且其复杂 性将随着攻击数量的增加而增加。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
莆田学院计算网络教研室
9.1.5 入侵检测的分类
2.按照分析的方式
按照分析器所采用的数据分析方式,可分为:
异常检测系统
误用检测系统
混合检测系统。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
异常检测(Anomaly detection)系统:假定 所有的入侵行为都与正常行为不同,建立正常活动 的简档,当主体活动违反其统计规律时,则将其视 为可疑行为。

数据安全防护通用技术要求

数据安全防护通用技术要求

数据安全防护通用技术要求概述数据安全防护是当今信息社会中至关重要的一个议题。

随着互联网的迅猛发展,个人和机构的数据面临着日益增加的风险。

保护数据的安全性已经成为了一项战略性任务,需要采取一系列的技术措施来确保数据的机密性、完整性和可用性。

本文将深入探讨数据安全防护的通用技术要求,以期为个人和机构提供有价值的参考。

数据分类与保护级别数据分类在进行数据安全防护之前,首先需要对数据进行分类。

根据数据的敏感程度、价值以及可能产生的风险,可以将数据分为以下几类: 1. 个人身份信息(PII):包括姓名、身份证号码、地址等与个人身份相关的信息。

2. 商业机密数据:包括商业计划、财务数据、技术规范等与企业运营相关的敏感数据。

3. 客户数据:包括客户的个人信息、交易记录等与客户关系管理相关的数据。

4. 知识产权:包括专利、商标、著作权等与企业创新相关的敏感数据。

保护级别为了有效保护数据的安全,需要根据数据的分类确定相应的保护级别。

通常可以将保护级别划分为以下几个层次: 1. 机密级:对应于最敏感的数据,需要最高级别的保护。

未经授权人员不得查看、复制、修改或传输该类数据。

2. 秘密级:对应于较为敏感的数据,需要较高级别的保护。

只有授权人员才能查看、复制、修改或传输该类数据。

3. 内部级:对应于一般的内部数据,需要基本级别的保护。

需要对数据访问进行权限控制,只有有限的人员能够查看、复制、修改或传输该类数据。

4. 开放级:对应于公开的数据,需要最低级别的保护。

可以对数据进行公开访问,但仍需要保护其完整性和可用性。

数据安全防护技术要求访问控制1.鉴权和授权:对访问数据的用户进行身份验证,并授予其相应的权限。

强制使用复杂的密码策略,包括定期更换密码、密码长度和复杂度要求等。

2.横向权限控制:限制用户只能访问其所需的数据,避免用户越权访问数据。

3.传输加密:在数据传输过程中使用加密算法,确保数据在传输过程中不被窃听或篡改。

网络入侵检测技术

网络入侵检测技术

网络入侵检测技术一、入侵检测发展史1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。

为开发基于主机的IDS提供了最初的理论基础。

1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。

TCSEC为预防非法入侵定义了四类七个安全级别。

由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。

TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。

1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。

美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。

1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。

他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。

1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。

使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持控制台与探测器的双向连接;
控制台支持任意 层次的级联部署,上级控制台 可以将最新的升 级补丁、规则模板文件、探测 器 配置文件等 统一发送到下级控制台,保持整个 系统的完整统一性;
能够提供多种响应方式,包括控制台告警、
EMAIL、记录、切断连接、以及执 行用户自定义 行为。支持主流防火墙联动。
7
支持控制台与探测器的双向连接;
控制台支持任意 层次的级联部署,上级控制台 可以将最新的升 级补丁、规则模板文件、探测 器配置文件等 统一发送到下级控制台,保持整 个系统的完整统一性;
能够提供多种响应方式,包括控制台告警、
EMAIL、记录、切断连接、以及执 行用户自定 义行为。支持主流防火墙联动。
7.
RFC的异常通讯进行报警;
内置智能攻 击结果分析,在入侵检测的平台上, 无需使用外部的工具(如 扫描器)就能够准确检 测和验证攻击行为成功与否;
*
产品的知识库全面,至少能对1800种以上的攻 击行为进行检测,规则库检测 攻击的性能领先、 规则更新快,至少能够做到一周一次 检测模块 的更新;升级过程不停止 监测过程;事件库与
CVE兼容;
*
支持所有部件包括引擎、控制台、规则库在内的
实时在线升级(Live),所有部件均支持离 线升级, 所有部件均支持定 时自动在线升级,引擎支持 串口,控制台两种升级方式;
在冋一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出
能够对http,ftp,smtp,pop,telnet等常用协议进行
连接回放;支持对P2P协议的解码和流量排序,
包括(BitTorrent、MSN等)
5
性能要求
每秒并发TCP会话数> 100000
最大并发TCP会话数>200000
最大包捕获和处理能力>200Mb
6、
管理能力
产品的所有的告警和流量信息都可以 实时的汇
总到监控中心,支持集中式的探测器管理、监控
和入侵检测分析;
对发现的攻击行为应该记录到典型数据 库中例
如SQL Server等,并提供基于时间、事件、风险 级别等组合的分析功能,并且可以 产生各种图 片、文子的报告形式。无需安装任何第一方软件
支持 输出到通用的HTML、JPG、WORD、Excle等格式文件;
8.
必须满足的国家
相关标准及规范
通过以下国家权威部门的认证:包括《公安部的 销售许可证》《国家信息安全测评认证中心认证》 、《涉密信息系统产品检测证书》以及《军 用信息 安全产品认证》;
对发现的攻击行为应该记录到典型数据 库中例
如SQL Server等,并提供基于时间、事件、风险 级别等组合的分析功能,并且可以 产生各种图 片、文子的报告形式。无需安装任何第一方软件
支持 输出到通用的HTML、JPG、WORD、Excle等格式文件;
8
必须满足的国家
相关标准及规范
通过以下国家权威部门的认证:包括《公安部的 销售许可证》《国家信息安全测评认证中心认证》 、《涉密信息系统产品检测证书》以及《军 用信息 安全产品认证》;
*
百兆入侵检测系统
编号
项目
要求
备注
1
机种
百兆机架式硬件设备;
*
2
监听口 /数量
10/100Bas以及中文 详细的解决方
案报告
*
4
入侵检测能力
支持深度协议识别,能够监测基于Smart Tunnel
方式伪造和包装的通讯;
支持70种以上的协议异常检测,能够对违背
日志与报告能力
支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将 检测到的攻击行为 在探测器本地保存,等到网 络恢复正常自动的 冋步到控制台或日志数据 库。不会出现 网络断 开而丢失告警信息的情况;
具备对反IDS攻击技术的防护能力,如stick
类攻击、Man-in-Middle等
*
报表系统可以自动生成各种形式的攻 击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分析 等多种分析方式,以直观、清晰的方式从总体上 分析网络上发生的各种事件,为管理人员提供 方便;
RFC的异常通讯进行报警;
内置智能攻 击结果分析,在入侵检测的平台上, 无需使用外部的工具(如 扫描器)就能够准确检 测和验证攻击行为成功与否;
*
产品的知识库全面,至少能对1800种以上的攻 击行为进行检测,规则库检测 攻击的性能领先、 规则更新快,至少能够做到一周一次 检测模块 的更新;升级过程不停止 监测过程;事件库与
CVE兼容;
*
支持所有部件包括引擎、控制台、规则库在内的
实时在线升级(Live),所有部件均支持离 线升级, 所有部件均支持定 时自动在线升级,引擎支持 串口,控制台两种升级方式;
在冋一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出;
能够对http,ftp,smtp,pop,telnet等常用协议进行
入侵检测系统技术要求
千兆入侵检测系统
编号
项目
要求
备注
1.
机种
千兆机架式硬件设备;
*
2.
监听口要求/数量
多模光纤(FDDI)模块》2
3.
语言支持要求
支持全中文的操作界面以及中文 详细的解决方 案报告。
*
4.
入侵检测能力
支持深度协议识别,能够监测基于Smart Tunnel
方式伪造和包装的通讯;
支持70种以上的协议异常检测,能够对违背
连接回放;支持对P2P协议的解码和流量排序,
包括(BitTorrent、MSN等);
5.
性能要求
每秒并发TCP会话数> 200000
最大并发TCP会话数》500000
最大处理能力>1.2Gb
6.
管理能力
产品的所有的告警和流量信息都可以 实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵 检测分析;
日志与报告能力
支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将 检测到的攻击行为 在探测器本地保存,等到网 络恢复正常自动的 冋步到控制台或日志数据 库。不会出现 网络断 开而丢失告警信息的情况;
具备对反IDS攻击技术的防护能力,如stick
类攻击、Man-in-Middle等
*
报表系统可以自动生成各种形式的攻 击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分析 等多种分析方式,以直观、清晰的方式从总体上 分析网络上发生的各种事件,为管理人员提供 方便;
相关文档
最新文档