保密安全與密碼技術(shù)講義.ppt

1、保密安全與密碼技術(shù),第八講 入侵檢測系統(tǒng)IDS,入侵知識簡介 入侵檢測技術(shù) 入侵檢測系統(tǒng)的選擇和使用,課程內(nèi)容,課程目標(biāo),了解入侵檢測的概念、術(shù)語 了解入侵檢測產(chǎn)品部署方案 了解入侵檢測產(chǎn)品選型原則 了解入侵檢測技術(shù)發(fā)展方向,入侵知識簡介,入侵 (Intrusion) 入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息，使系統(tǒng)不可靠或不能使用的行為。 入侵企圖破壞計算機(jī)資源的完整性、機(jī)密性、可用性、可控性,入侵者 入侵者可以是一個手工發(fā)出命令的人，也可是一個基于入侵腳本或程序的自動發(fā)布命令的計算機(jī)。,入侵知識簡介,目前主要漏洞： 緩沖區(qū)溢出 拒絕服務(wù)攻擊漏洞 代碼泄漏、信息泄漏漏洞 配置修改、系統(tǒng)修改

2、漏洞 腳本執(zhí)行漏洞 遠(yuǎn)程命令執(zhí)行漏洞 其它類型的漏洞,侵入系統(tǒng)的主要途徑 物理侵入 本地侵入 遠(yuǎn)程侵入,網(wǎng)絡(luò)入侵的一般步驟,進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工 作，其主要工作流程是： 目標(biāo)探測和信息收集 自身隱藏 利用漏洞侵入主機(jī) 穩(wěn)固和擴(kuò)大戰(zhàn)果 清除日志,網(wǎng)絡(luò)入侵步驟總覽,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,背景介紹,信息社會出現(xiàn)的新問題 信息時代到來，電子商務(wù)、電子政務(wù)，網(wǎng)絡(luò)改變?nèi)藗兊纳?，人類進(jìn)入信息化社會 計算機(jī)系統(tǒng)與網(wǎng)絡(luò)的廣泛應(yīng)用，商業(yè)和國家機(jī)密信息的保護(hù)以及信息時代電子、信息對抗的需求 存儲信息

3、的系統(tǒng)面臨的極大的安全威脅 潛在的網(wǎng)絡(luò)、系統(tǒng)缺陷危及系統(tǒng)的安全 傳統(tǒng)的安全保密技術(shù)都有各自的局限性，不能夠確保系統(tǒng)的安全 信息系統(tǒng)的安全問題 操作系統(tǒng)的脆弱性 計算機(jī)網(wǎng)絡(luò)的資源開放、信息共享以及網(wǎng)絡(luò)復(fù)雜性增大了系統(tǒng)的不安全性 數(shù)據(jù)庫管理系統(tǒng)等應(yīng)用系統(tǒng)設(shè)計中存在的安全性缺陷 缺乏有效的安全管理,黑客攻擊猖獗,網(wǎng)絡(luò),內(nèi)部、外部泄密,拒絕服務(wù)攻擊,邏輯炸彈,特洛伊木馬,黑客攻擊,計算機(jī)病毒,后門、隱蔽通道,蠕蟲,背景介紹,我國安全形勢非常嚴(yán)峻 1998年2月25日：黑客入侵中國公眾多媒體通信網(wǎng)廣州藍(lán)天BBS系統(tǒng)并得到系統(tǒng)的最高權(quán)限，系統(tǒng)失控長達(dá)15小時。為國內(nèi)首例網(wǎng)上黑客案件。 1998年9月22日

4、，黑客入侵揚(yáng)州工商銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內(nèi)首例利用計算機(jī)盜竊銀行巨款案件。 1999年4月16日：黑客入侵中亞信托投資公司上海某證券營業(yè)部，造成340萬元損失。 1999年11月23日：銀行內(nèi)部人員通過更改程序，用虛假信息從本溪某銀行提取出86萬元。,背景介紹,我國安全形勢非常嚴(yán)峻（續(xù)） 2000年2月1日：黑客攻擊了大連市賽伯網(wǎng)絡(luò)服務(wù)有限公司，造成經(jīng)濟(jì)損失20多萬元。 2000年2月1日至2日：中國公共多媒體信息網(wǎng)蘭州節(jié)點 “飛天網(wǎng)景信息港”遭到黑客攻擊。 2000年3月2日：黑客攻擊世紀(jì)龍公司21CN。 2000年3月6日至8日：黑客攻擊實華開EC123網(wǎng)站

5、達(dá)16次，同一時期，號稱全球最大的中文網(wǎng)上書店“當(dāng)當(dāng)書店”也遭到多次黑客攻擊。 2000年3月8日：山西日報國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機(jī)，這是國內(nèi)首例黑客攻擊省級黨報網(wǎng)站事件。 2000年3月8日：黑客攻擊國內(nèi)最大的電子郵局-擁有200萬用戶的廣州163，系統(tǒng)無法正常登錄。,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測的提出,什么是入侵檢測系統(tǒng) 入侵檢測系統(tǒng)是一套監(jiān)控計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計的軟件或硬件系統(tǒng)。,為什么需要IDS？ 入侵很容易 入侵教程隨處可見 各種工

6、具唾手可得 防火墻不能保證絕對的安全 網(wǎng)絡(luò)邊界的設(shè)備 自身可以被攻破 對某些攻擊保護(hù)很弱 不是所有的威脅來自防火墻外部 防火墻是鎖，入侵檢測系統(tǒng)是監(jiān)視器,入侵檢測的提出,入侵檢測的任務(wù) 通過事先發(fā)現(xiàn)風(fēng)險來阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或濫用網(wǎng)絡(luò)系統(tǒng)的人員 檢測其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件。 提供有效的審計信息，詳細(xì)記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性。 檢測來自內(nèi)部的攻擊事件和越權(quán)訪問 85以上的攻擊事件來自于內(nèi)部的攻擊 防火墻只能防外，難于防內(nèi) 入侵檢測系統(tǒng)作為防火墻系統(tǒng)的一個有效的補(bǔ)充。 入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵,入侵檢測的提出,入侵檢測的發(fā)

7、展歷史 1980年，James Anderson最早提出入侵檢測概念 1987年，DEDenning首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。 1988年，Morris蠕蟲事件直接刺激了IDS的研究 1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等 1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR， DIDS等 90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計算技術(shù)等引入IDS系統(tǒng) 2000年2月，對Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對IDS系統(tǒng)的新一輪研究熱潮 2001年

8、今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展。,入侵檢測的提出,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測相關(guān)術(shù)語,IDS(Intrusion Detection Systems)入侵檢測系統(tǒng) Promiscuous 混雜模式 Signatures 特征 Alerts警告 Anomaly異常 Console控制臺 Sensor傳感器,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測系統(tǒng)分類,

9、概要 Host-Based IDS Network-Based IDS Stack-Based IDS,Host-Based IDS(HIDS),HIDS優(yōu)點 性能價格比高 細(xì)膩性，審計內(nèi)容全面 視野集中 適用于加密及交換環(huán)境,HIDS缺點 額外產(chǎn)生的安全問題 HIDS依賴性強(qiáng) 如果主機(jī)數(shù)目多，代價過大 不能監(jiān)控網(wǎng)絡(luò)上的情況,基于主機(jī)的入侵檢測系統(tǒng)，系統(tǒng)安裝在主機(jī)上面，對本主機(jī)進(jìn)行安全檢測,Network-Based IDS(NIDS),基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi),NIDS優(yōu)點 檢測范圍廣 無需改變主機(jī)配置和性能 獨立性和操作系統(tǒng)無關(guān)性 安裝方便,NIDS缺點 不能檢測

10、不同網(wǎng)段的網(wǎng)絡(luò)包 很難檢測復(fù)雜的需要大量計算的攻擊 協(xié)同工作能力弱 難以處理加密的會話,Stack-Based IDS(NNIDS),網(wǎng)絡(luò)節(jié)點入侵檢測系統(tǒng) 安裝在網(wǎng)絡(luò)節(jié)點的主機(jī)中 結(jié)合了NIDS和HIDS的技術(shù) 適合于高速交換環(huán)境和加密數(shù)據(jù),入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測系統(tǒng)構(gòu)件,入侵檢測系統(tǒng)構(gòu)件,事件產(chǎn)生器(Event generators) 事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。,事件數(shù)據(jù)庫(Event databases) 事件數(shù)據(jù)庫是存放各種中間和

11、最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。,入侵檢測系統(tǒng)構(gòu)件,事件分析器(Event analyzers) 事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。,響應(yīng)單元(Response units) 響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測系統(tǒng)部署方式,Switch,IDS Sensor,Monitored Servers,Console,通過端

12、口鏡像實現(xiàn) （SPAN / Port Monitor）,檢測器部署位置,放在邊界防火墻之內(nèi) 放在邊界防火墻之外 放在主要的網(wǎng)絡(luò)中樞 放在一些安全級別需求高的子網(wǎng),Internet,檢測器部署示意圖,部署一,部署二,部署三,部署四,入侵檢測系統(tǒng)部署方式,檢測器放置于防火墻的DMZ區(qū)域 可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài) 可以看出防火墻系統(tǒng)的策略是否合理 可以看出DMZ區(qū)域被黑客攻擊的重點,檢測器放置于路由器和邊界防火墻之間 可以審計所有來自Internet上面對保護(hù)網(wǎng)絡(luò)的攻擊數(shù)目 可以審計所有來自Internet上面對保護(hù)網(wǎng)絡(luò)的攻擊類型,入侵檢測系統(tǒng)部署方式,檢測器放在主要的網(wǎng)絡(luò)中樞 監(jiān)控大量的網(wǎng)

13、絡(luò)數(shù)據(jù)，可提高檢測黑客攻擊的可能性 可通過授權(quán)用戶的權(quán)利周界來發(fā)現(xiàn)為授權(quán)用戶的行為,檢測器放在安全級別高的子網(wǎng) 對非常重要的系統(tǒng)和資源的入侵檢測,入侵檢測系統(tǒng)概述,概要 背景介紹 入侵檢測的提出 入侵檢測相關(guān)術(shù)語 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)構(gòu)件 入侵檢測系統(tǒng)部署方式,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的選型原則 入侵檢測的不足和發(fā)展趨勢,入侵檢測引擎工作流程,監(jiān)聽部分,網(wǎng)絡(luò)接口混雜模式 根據(jù)設(shè)置過濾一些數(shù)據(jù)包 過濾程序的算法的重要性,監(jiān)聽器設(shè)置如下規(guī)則進(jìn)行過濾： Only check the fo

14、llowing packet 源地址為,協(xié)議分析,協(xié)議,IPX,ICMP,OSPF,TCP,UDP,FTP,Telnet,POP3,SMTP,HTTP,DNS,TFTP,IGMP,EGP,GGP,NFS,IP,PPP,IPV6,ATM,NetBEUI,數(shù)據(jù)分析,根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù) 一個協(xié)議數(shù)據(jù)有多個數(shù)據(jù)分析函數(shù)處理 數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心 快速的模式匹配算法,引擎管理,協(xié)調(diào)和配置給模塊間工作 數(shù)據(jù)分析后處理方式 Alert Log Call Firewall,入侵檢測的分析方式,異常檢測（Anomaly Detection） 統(tǒng)計模型 誤報較

15、多 誤用檢測（Misuse Detection） 維護(hù)一個入侵特征知識庫（CVE） 準(zhǔn)確性高 完整性分析,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的選型原則 入侵檢測的不足和發(fā)展趨勢,異常檢測,基本原理 正常行為的特征輪廓 檢查系統(tǒng)的運(yùn)行情況 是否偏離預(yù)設(shè)的門限？,異常檢測,異常檢測的優(yōu)點： 可以檢測到未知的入侵 可以檢測冒用他人帳號的行為 具有自適應(yīng)，自學(xué)習(xí)功能 不需要系統(tǒng)先驗知識,異常檢測,異常檢測的缺點： 漏報、誤報率高 入侵者可以逐漸改變自己的行為模式來逃避檢測 合法用戶正常行為的突然改變也會造成誤

16、警 統(tǒng)計算法的計算量龐大，效率很低 統(tǒng)計點的選取和參考庫的建立比較困難,誤用檢測,采用匹配技術(shù)檢測已知攻擊 提前建立已出現(xiàn)的入侵行為特征 檢測當(dāng)前用戶行為特征,誤用檢測,誤用檢測的優(yōu)點 算法簡單 系統(tǒng)開銷小 準(zhǔn)確率高 效率高,誤用檢測,誤用檢測的缺點 被動 只能檢測出已知攻擊 新類型的攻擊會對系統(tǒng)造成很大的威脅 模式庫的建立和維護(hù)難 模式庫要不斷更新 知識依賴于 硬件平臺 操作系統(tǒng) 系統(tǒng)中運(yùn)行的應(yīng)用程序,完整性分析,通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。 其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其

17、它對象的任何改變，它都能夠發(fā)現(xiàn)。 缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的選型原則 入侵檢測的不足和發(fā)展趨勢,入侵檢測實現(xiàn)技術(shù),基于統(tǒng)計方法的入侵檢測技術(shù) 審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進(jìn)行監(jiān)測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測、記錄該用戶的行為。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù) 采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實時檢測到的信息有效地加以處理作出攻擊可能性的判斷。神經(jīng)網(wǎng)絡(luò)技術(shù)可以用于解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的

18、以下問題： 難于建立確切的統(tǒng)計分布導(dǎo)致 難于實現(xiàn)方法的普適性 算法實現(xiàn)比較昂貴 系統(tǒng)臃腫難于剪裁,基于專家系統(tǒng)的入侵檢測技術(shù) 根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測?；谝?guī)則的專家系統(tǒng)或推進(jìn)系統(tǒng)的也有一定的局限性。 基于模型推理的入侵檢測技術(shù) 用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。 一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。,入侵檢測實現(xiàn)技術(shù),其他的檢測實現(xiàn)技術(shù),免疫系統(tǒng)方法 遺傳算法 基于代理

19、檢測 數(shù)據(jù)挖掘,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的選型原則 入侵檢測的不足和發(fā)展趨勢,入侵檢測缺陷,目標(biāo) 通過本章學(xué)習(xí)，學(xué)員可以了解黑客如何逃避入侵檢測系統(tǒng)的審計。 概要 利用字符串匹配缺陷 分割I(lǐng)P數(shù)據(jù)包 拒絕服務(wù)攻擊,利用字符串匹配缺陷,路徑欺騙 改變字符串外形，但是實質(zhì)相同。 解決辦法：協(xié)議分析、URL標(biāo)準(zhǔn)化 HEX編碼 URL中將%20代替空格，使用%73代替s等。 WEB服務(wù)器可識別HEX編碼，入侵檢測系統(tǒng)無法識別 解決辦法：協(xié)議分析；使用于WEB服務(wù)器相同的分析器分析HEX編碼，然后進(jìn)行

20、URL分析發(fā)現(xiàn)攻擊,利用字符串匹配缺陷,二次HEX編碼 微軟IIS服務(wù)器對HEX碼進(jìn)行二次解碼 解碼前： scripts/.%255c./winnt %25是%的編碼 第一次解碼： scripts/.%5c./winnt %5是的編碼 第二次解碼： scripts/./winnt 等同于scripts/././winnt,利用字符串匹配缺陷,Unicode(UTF-8) %7f以上的編碼屬于unicode序列 %c0%af是一個合法的Unicode序列 Scripts/.%c0%af./winnt 轉(zhuǎn)換后為：scripts/././winnt,避免字符匹配缺陷,解碼IP包頭文件，確定協(xié)議類型

21、分析HTTP請求所有成分 進(jìn)行URL處理，避免路徑欺騙、HEX編碼、二次編碼和Unicode 字符串匹配,分割I(lǐng)P數(shù)據(jù)包,有效的逃避手段 切割一個攻擊IP包 分割后的IP包單獨通過入侵檢測 入侵檢測系統(tǒng)無法匹配成功,拒絕服務(wù)攻擊,攻擊原理 發(fā)送大量的黑客入侵包 入侵檢測系統(tǒng)會發(fā)出大量的Alert 審計數(shù)據(jù)庫空間將溢出 入侵檢測系統(tǒng)停止工作,拒絕服務(wù)攻擊,攻擊后果 大量消耗設(shè)備處理能力，使黑客有機(jī)可乘 硬盤空間滿，導(dǎo)致審計無法繼續(xù) 產(chǎn)生大量Alert，導(dǎo)致管理機(jī)無法處理 導(dǎo)致管理員無法審查所有的Alert 導(dǎo)致設(shè)備死鎖,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)

22、技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的選型原則 入侵檢測的不足和發(fā)展趨勢,IDS評估與測試,入侵檢測系統(tǒng)能發(fā)現(xiàn)入侵行為嗎？ 入侵檢測系統(tǒng)是否達(dá)到了開發(fā)者的設(shè)計目標(biāo)？ 什么樣的入侵檢測系統(tǒng)才是用戶需要的性能優(yōu)良的入侵檢測系統(tǒng)呢？ 要回答這些問題，就要對入侵檢測系統(tǒng)進(jìn)行測試和評估。,IDS的評價標(biāo)準(zhǔn),Porras等給出了評價入侵檢測系統(tǒng)性能的三個因素： 準(zhǔn)確性（Accuracy） 處理性能（Performance） 完備性（Completeness） Debar等增加了兩個性能評價測度 容錯性（Fault Tolerance） 及時性（Timeliness）,IDS測試評估步驟,創(chuàng)

23、建、選擇一些測試工具或測試腳本 確定計算環(huán)境所要求的條件，比如背景計算機(jī)活動的級別 配置運(yùn)行入侵檢測系統(tǒng) 運(yùn)行測試工具或測試腳本 分析入侵檢測系統(tǒng)的檢測結(jié)果,IDS測試分類,入侵識別測試（也可說是入侵檢測系統(tǒng)有效性測試） 資源消耗測試 強(qiáng)度測試,評估IDS的性能指標(biāo),檢測率、虛警率及檢測可信度(最重要的指標(biāo) ) 入侵檢測系統(tǒng)本身的抗攻擊能力 延遲時間 資源的占用情況 系統(tǒng)的可用性。系統(tǒng)使用的友好程度。 日志、報警、報告以及響應(yīng)能力,性能指標(biāo)接收器特性(ROC)曲線,入侵檢測原理與技術(shù),概要 IDS工作流程 入侵檢測的分析方式 入侵檢測的實現(xiàn)技術(shù) 入侵檢測的缺陷 入侵檢測的評估與測試 入侵檢測的

24、選型原則 入侵檢測的不足和發(fā)展趨勢,環(huán)境和策略考慮,網(wǎng)絡(luò)中存在那些應(yīng)用和設(shè)備？ 目前擁有那些防范措施？ 企業(yè)的業(yè)務(wù)經(jīng)營方向？ 企業(yè)中系統(tǒng)環(huán)境和網(wǎng)絡(luò)管理的正式度？,安全目標(biāo)和任務(wù),是否主要關(guān)注來自企業(yè)外部的入侵事件？ 企業(yè)關(guān)注來自內(nèi)部人員的入侵嗎？ 企業(yè)是否使用IDS用于管理控制超過于網(wǎng)絡(luò)入侵防范？,IDS產(chǎn)品功能和品質(zhì),產(chǎn)品是否可擴(kuò)展 針對你自己的網(wǎng)絡(luò)結(jié)構(gòu)，IDS系統(tǒng)是否具有良好的可擴(kuò)展性？ 產(chǎn)品是如何測試的 針對你網(wǎng)絡(luò)特點，產(chǎn)品提供者是否已測試？ 該產(chǎn)品是否進(jìn)行過攻擊測試？ 產(chǎn)品管理和操作難易度,IDS產(chǎn)品功能和品質(zhì),產(chǎn)品售后服務(wù)如何 產(chǎn)品安裝和配置的承諾是什么？ 產(chǎn)品平常維護(hù)的承諾是什么？ 產(chǎn)品培訓(xùn)的承諾是什么？ 還能提供哪些額外的培訓(xùn)及其費(fèi)用？ 產(chǎn)品平常維護(hù)具體承諾 入侵檢測規(guī)則庫升級費(fèi)用？ 入侵檢測規(guī)則庫升級周期？ 當(dāng)一直新的攻擊出現(xiàn)后，規(guī)則升級的速度？ 是否包含軟件升級（費(fèi)用）？,入侵檢測產(chǎn)品,免費(fèi)的入侵檢測產(chǎn)品 Snort SHADOW