Transcript 入侵偵測系統

入侵偵測系統
什麼是IDS?

入侵偵測系統(Intrusion Detection System)
對電腦網路和系統的資訊進行收集分析，偵測其
中是否有違反安全策略的事件發生或攻擊跡象。
IDS元件
Event
generators
Event
Databases
Event
analyzers
Response
units
Response
IDS偵測方式


基於特徵（Signature-based）
 維護一個入侵特徵的資料庫
 準確性較高
基於異常（Anomaly-based）
 統計模型
 專家系統
 誤報較多
使用軟體介紹

Winsnort


WinPcap


用來儲存各種事件的資料庫
ACID & PHP


提供如同Sniffer，提供Windows抓取封包的能力
MySQL


入侵偵測系統核心，藉由更新Rules提升偵測能力
讓使用者進行管理&監控
Internet Information Services(IIS)

讓Windows可架設Web server
相似軟體比較

Tcpdump


可將網路上所有的封包資訊都詳細顯示出來，主要
於第二、第三層進行診斷。
一般商業用IDS



功能較多，通常有較完整的解決方案
付費
功能強大，也較吃資源
Snort 分析比較

負載小


擴充性




輕量級IDS，對系統資源消耗不大
模組化架構，易加入其它套件增強功能
使用者可依Snort的規則語言自行定義Rules
Open Source
 開放原始碼，可自由修改
跨平台

可在多種平台上使用，包含Windows、Mac OS、以
及大部份的Unix-like系統
Snort 分析比較(cont.)

偵測能力比某些付費IDS稍欠完善
(ex. Kaspersky Internet Security、Norton Internet security…)

未付費版本只能使用30天前的Rules