• 事后检测：完整的将网络中所有活动数据报的特征记录下来， 当发生不可确定的安全时间时，可以将信息包全部回放，进 行事后检测分析。
• 协议内容检测：支持常见的明文应用层协议记录，可以及时 恢复所有访问原始交互内容。支持用户自定义明文协议特征。
多种灵活接入方式
Neusoft Co., Ltd.
入侵检测设备直接连接在交换机的侦听口
Neusoft Co., Ltd.
一例利用FORNTPAGE的攻击事件
Neusoft Co., Ltd.
利用同样的手段远程进入调试页面状态
修改后的结果
Neusoft Co., Ltd.
Neusoft Co., Ltd.
入侵过程描述
入侵主机情况描述： • 该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据
库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx 局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到 现场取证分析。 操作系统和补丁情况： • WIN2000个人版操作系统 SP2的补丁包 主要服务用途： • 做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网 站运行IIS5，后台数据库采用ACCESS。 入侵后的行为表现： • 主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。
Neusoft Co., Ltd.
信息安全威胁审计 技术(ppt 67页)
Neusoft Co., Ltd.
安全审计部分内容整体介绍
Neusoft Co., Ltd.
入侵检测系统 WEB日志分析系统 终端用户审计和控制系统 遭受入侵后的检测工作流程建议
从入侵检测系统说起~
Neusoft Co., Ltd.
FTP协议还原支持（支持自动回放）
Neusoft Co., Ltd.
TELNET协议还原支持（支持自动回放）
IMAP协议还原支持
Neusoft Co., Ltd.
NNTP协议还原支持
Neusoft Co., Ltd.
DNS协议还原支持
Neusoft Co., Ltd.
Neusoft Co., Ltd.
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
灵活的策略编辑器
Neusoft Co., Ltd.
入侵检测响应选项
入侵检测设备直接连接在交换设备之间，充当透明网桥功能同时进行数据包抓取分析
Neusoft Co., Ltd.
多侦听口设计多台交换机数据同时采集处理
内部网络 DMZ区域
入侵检测设备支持多端口侦听，对中小企业网络更好适应。
Neusoft Co., Ltd.
强大的网络访问内容审计功能
• 可以进行多种协议HTTP、 FTP、 POP3、SMTP、 IMAP、NNTP、 Telnet、rsh、rlogin、MSN、 Yahoo Messager、DNS等协议的 回放和会话记录，便于回放资源访 问的详细过程并追查攻击的来源。
Neusoft Co., Ltd.
分析审计WEB服务器访问日志
• 00:40:59 10.71.1.98 GET /mynews.mdb 200 • 该记录表明10.71.1.98在早上8点40分的时候非法下载了
mynews.mdb数据库，服务器返回200正确请求值，表示请求成 功该数据库已经被非法下载。 • 00:42:14 10.71.1.98 GET /login.asp 200 • 随后该攻击者直接访问网站的在线管理系统。
• 支持用户自定义扩充
明文应用协议还原配置
Neusoft Co., Ltd.
Neusoft Co., Ltd.
对于HTTP协议做到访问页面级别的还原
SMTP协议还原支持
Neusoft Co., Ltd.
POP3协议还原支持
Neusoft Co., Ltd.
Neusoft Co., Ltd.
Neusoft Co., Ltd.
入侵检测的基本概念
• 真正的入侵检测系统是在20世纪80年代末才开始被研究 • 我们先来明确计算机安全的特性有那三个方面CIA 1. 机密性 2. 完整性 3. 可用性
Neusoft Co., Ltd.
什么是入侵呢？
• 破坏上面四性的行为都可以定义为入侵，不管成功与否。 • 从受害者的角度可以说： 1. 发生了什么？ 2. 谁是受害者？ 3. 受害程度大不大？ 4. 谁是入侵者？ 5. 入侵者的来源在哪里？ 6. 入侵发生的时间？ 7. 入侵是怎么发生的？ 8. 为什么发生入侵？ • 但很多时候我们身边没有一个安全专家可以帮助我们解答这
些问题
为什么需要入侵检测系统
• 检测防护部分阻止不了的入侵 • 检测入侵的前兆 • 入侵事件的归档 • 网络遭受威胁程度的评估 • 入侵事件的恢复
Neusoft Co., Ltd.
入侵检测的分类和检测方式
• 基于主机的入侵检测系统 • 基于网络的入侵检测系统 • 基于文件效验方式的入侵检测 • 基于诱捕的蜜罐检测技术
MSN（网络聊天）会话回放
强大的事件定义库
Neusoft Co., Ltd.
Neusoft Co., Ltd.
根据网络自身应用特点添加自定.
根据网络自身应用特点添加自定义检测规则
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
哪些站点最容易遭受攻击 什么是入侵检测 入侵检测的主要检测方式 入侵检测系统主要能够实现的安全功能有什么 入侵检测所面临的技术挑战
Neusoft Co., Ltd.
Neusoft Co., Ltd.
政府站点
Neusoft Co., Ltd.
Neusoft Co., Ltd.
很多站点甚至都没有发现自己已经被攻击
Neusoft Co., Ltd.
Neusoft Co., Ltd.
全面的检测方式
• 异常检测：异常检测的假设是入侵者活动异常于正常主体的 活动，建立正常活动的“活动简档”，当前主体的活动违反 其统计规律时，认为可能是“入侵”行为。
• 特征检测：特征检测假设入侵者活动可以用一种模式来表示， 系统的目标是检测主体活动是否符合这些模式。支持用户自 定义攻击特征代码分析。