Neusoft Co., Ltd.
入侵检测的基本概念
• 真正的入侵检测系统是在20世纪80年代末才开始被研究 • 我们先来明确计算机安全的特性有那三个方面CIA 1. 机密性 2. 完整性 3. 可用性
Neusoft Co., Ltd.
什么是入侵呢？
• 破坏上面四性的行为都可以定义为入侵，不管成功与否。 • 从受害者的角度可以说： 1. 发生了什么？ 2. 谁是受害者？ 3. 受害程度大不大？ 4. 谁是入侵者？ 5. 入侵者的来源在哪里？ 6. 入侵发生的时间？ 7. 入侵是怎么发生的？ 8. 为什么发生入侵？ • 但很多时候我们身边没有一个安全专家可以帮助我们解答这
MSN（网络聊天）会话回放
强大的事件定义库
Neusoft Co., Ltd.
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
入侵检测产品报表的重要性
• 只有定期的查看报告才能及时发现攻击企图，对各种入侵行 为及时处理。
• 建议每天上班和下班的时候都查看一遍入侵检测产品的报告。 • 报告显示结果是否清楚明了至关重要。 • 介绍我的一个真实的成功案件
Neusoft Co., Ltd.
蜜罐技术
• 蜜罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚拟 的网络，从而达到保护真正网络的目的。
• 支持用户自定义扩充
明文应用协议还原配置
Neusoft Co., Ltd.
Neusoft Co., Ltd.
对于HTTP协议做到访问页面级别的还原
SMTP协议还原支持
Neusoft Co., Ltd.
POP3协议还原支持
Neusoft Co., Ltd.
Neusoft Co., Ltd.
自定义监视状态协议方便用户扩充
Neusoft Co., Ltd.
实时数据流量
• 在实时数据流量窗体中可通过折线图查看当前网络中可监听 到的网络实时数据流量信息，包括TCP、UDP、ICMP三种协 议的数据包数和字节数六种数据流量。
数据实时捕捉工具
Neusoft Co., Ltd.
Neusoft Co., Ltd.
• 可利用统计图表、生成报表功能对收集到的记录进行分 析保存。
• 可将收集到的记录导出为CSV文件；可以文本形式保存 消息日志。
• 可根据不同的用户权限打开相应的其它管理器，实现对 每一台子监控主机的单独管理。
Neusoft Co., Ltd.
Neusoft Co., Ltd.
报表查看器
• 可对通过安全管理器、集中管理器、脱机浏览器查询出的各 种数据记录按不同的模板生成报表。
• 攻击者尝试暴力破解服务器上的帐户，HTTP 401 Authorization Required errors 的记录会增长。
• 入侵者尝试SQL 注入脚本攻击，HTTP 500 Server Errors记 录会增长。
地选项”中启用服务、配置声音文件。 • Windows日志：事件发生时，写入安全管理器所在的主机的日志中。 • Windows消息：事件发生时，向指定的主机发送消息。 • 运行程序：事件发生时，在安全管理器所在的主机上运行指定的程序。
实时报警
Neusoft Co., Ltd.
攻击检测
Neusoft Co., Ltd.
Neusoft Co., Ltd.
分析审计WEB服务器访问日志
• 00:40:59 10.71.1.98 GET /mynews.mdb 200 • 该记录表明10.71.1.98在早上8点40分的时候非法下载了
mynews.mdb数据库，服务器返回200正确请求值，表示请求成 功该数据库已经被非法下载。 • 00:42:14 10.71.1.98 GET /login.asp 200 • 随后该攻击者直接访问网站的在线管理系统。
Neusoft Co., Ltd.
入侵检测面临的挑战
• 采用不恰当的自动反应所造成的风险。 • 对IDS自身的攻击。 • 大量的误报和漏报使得发现问题的真正所在非常困难。 • 客观的评估与测试信息的缺乏。 • 交换式局域网造成网络数据流的可见性下降，同时更快的网
络使数据的实时分析越发困难。
WEB服务器日志审计
• WEB日志的分析方法 • WEB分析工具软件的介绍 • 介绍几个日志 Co., Ltd.
通过服务器的返回代码来判断
• 攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时， HTTP 404 Not Found errors的记录会大量增长，一次完整的 扫描一般可以产生500个以上的连续404错误。
入侵检测设备直接连接在交换设备之间，充当透明网桥功能同时进行数据包抓取分析
Neusoft Co., Ltd.
多侦听口设计多台交换机数据同时采集处理
内部网络 DMZ区域
入侵检测设备支持多端口侦听，对中小企业网络更好适应。
Neusoft Co., Ltd.
强大的网络访问内容审计功能
• 可以进行多种协议HTTP、 FTP、 POP3、SMTP、 IMAP、NNTP、 Telnet、rsh、rlogin、MSN、 Yahoo Messager、DNS等协议的 回放和会话记录，便于回放资源访 问的详细过程并追查攻击的来源。
Neusoft Co., Ltd.
根据网络自身应用特点添加自定义检测规则
灵活的策略编辑器
Neusoft Co., Ltd.
入侵检测响应选项
• 主动响应 1. 收集相关信息 2. 改变环境 3. 反击攻击者 • 被动响应 1. 报警和告示 2. SNMP/SYSLOG协议通知
Neusoft Co., Ltd.
品，人的因素非常重要。
安全审计部分内容整体介绍
Neusoft Co., Ltd.
入侵检测系统 WEB日志分析系统 终端用户审计和控制系统 遭受入侵后的检测工作流程建议
从入侵检测系统说起~
Neusoft Co., Ltd.
哪些站点最容易遭受攻击 什么是入侵检测 入侵检测的主要检测方式 入侵检测系统主要能够实现的安全功能有什么 入侵检测所面临的技术挑战
• 主要作用： 1. 诱惑黑客攻击虚假的网络而忽略真正的网络。 2. 收集黑客的信息和企图，帮助系统进行安全防护和检测，响
应。 3. 消耗黑客的精力，让系统管理员有足够的时间去响应。 • 现有技术允许将4000个IP地址绑定在一台PC机上，显然会增
加攻击者的工作量，光用扫描这些IP地址就要花去大量的时 间。 • 技术的费用很低，但是能达到很好的效果。
Neusoft Co., Ltd.
入侵检测面临的挑战
• 攻击者不断增加的知识，日趋成熟多样自动化工具，以及越 来越复杂细致的攻击手法。
• 恶意信息采用加密的方法传输。 • 必须协调、适应多样性的环境中的不同的安全策略。 • 不断增大的网络流量。 • 广泛接受的术语和概念框架的缺乏。 • 不断变化的入侵检测市场给购买、维护IDS造成的困难。
些问题
为什么需要入侵检测系统
• 检测防护部分阻止不了的入侵 • 检测入侵的前兆 • 入侵事件的归档 • 网络遭受威胁程度的评估 • 入侵事件的恢复
Neusoft Co., Ltd.
入侵检测的分类和检测方式
• 基于主机的入侵检测系统 • 基于网络的入侵检测系统 • 基于文件效验方式的入侵检测 • 基于诱捕的蜜罐检测技术
应用审计
Neusoft Co., Ltd.
网络审计
Neusoft Co., Ltd.
Neusoft Co., Ltd.
统计图表
• 当查看实时报警、攻击检测、内容恢复、应用审计、网络审 计记录时，可以通过图表直观的查看各种信息的统计结果。
实时监控系统
Neusoft Co., Ltd.
Neusoft Co., Ltd.
Neusoft Co., Ltd.
信息安全威胁审计技术
曹鹏 网络安全产品营销中心解决方案部部长 CISP 北京 沈阳东软软件股份有限公司
Neusoft Co., Ltd.
怎么去理解审计的重要性和实际用途
• 好象是城市交通安全中的违章摄像头和自动拍照系统。 • 审计策略有时应公开， 有时应严格保密。 • 审计结果数据需要有专人负责处理，没有完全自动的审计产
FTP协议还原支持（支持自动回放）
Neusoft Co., Ltd.
TELNET协议还原支持（支持自动回放）
IMAP协议还原支持
Neusoft Co., Ltd.
NNTP协议还原支持
Neusoft Co., Ltd.
DNS协议还原支持
Neusoft Co., Ltd.
Neusoft Co., Ltd.
Neusoft Co., Ltd.
发现攻击多种响应方式可供选择
• 记录日志：事件发生时，记录到监控主机的攻击检测数据库，可通过 攻击检测查询。
• 实时报警：事件发生时，实时报警中心显示报警事件，实时报警图标 闪烁。
• 邮件报警：事件发生时，将报警事件以邮件的形式发送出去。 • 切断连接：事件发生时，切断事件产生的tcp连接。 • 防火墙联动：由防火墙完成阻断工作。 • Syslog：事件发生时，记录到配置的Syslog服务器。 • SNMP Trap：事件发生时，记录到配置的SNMP服务器。 • 播放声音：事件发生时，按事件的优先级发出不同的声音。应在“本
支持事件统一管理
• 分层次集中管理 统一取证 • 支持通用管理协议SNMP SYSLOG与企业现
有安管中心可以无缝集成
Neusoft Co., Ltd.