网络安全监视器NSM 网络安金 NETWORK SECURIY NsM系统与以前IDs的最大区别就是用网络数 据包作为审计数据源,没有采用主机系统的审 计记录,从而在不必进行审计记录格式变换的 条件下实现了异构系统的入侵检测。 开辟了基于主机和基于网络两个重要的入侵检 测研究方向 审计数据源分别来自网络数据包
网络安全监视器NSM • NSM系统与以前IDS的最大区别就是用网络数 据包作为审计数据源,没有采用主机系统的审 计记录,从而在不必进行审计记录格式变换的 条件下实现了异构系统的入侵检测。 • 开辟了基于主机和基于网络两个重要的入侵检 测研究方向。 • 审计数据源分别来自网络数据包
分布式入检测系统DTDs 网络安金 NETWORK SECURIY 审计数据源分别来自网络数据包,主机审计记录。 将基于主机和基于网络两种入侵检测方法集成在 起 采用层次体系的检测系统结构。 通过基于主机和基于网络两种入侵检测方法的优 势互补。 创建了混合型入侵检测系统原型
分布式入侵检测系统DIDS • 审计数据源分别来自网络数据包 ,主机审计记录。 • 将基于主机和基于网络两种入侵检测方法集成在 一起。 • 采用层次体系的检测系统结构。 • 通过基于主机和基于网络两种入侵检测方法的优 势互补。 • 创建了混合型入侵检测系统原型
下一代入检测专家系统 NIDES 网络安金 NETWORK SECURIY NIDES基本沿用了IDEs的入侵检测机制。 采用统计分析方法实现异常行为检测。 采用规则匹配方法实现已知攻击检测。 但 NIDES原型系统在统计分析算法、组件接口、组件封装、 可移植性、可扩展性和用户接口等方面都对IDEs进行了重 大改进。 1994年9月正式发布了最终测试版本。 NIDES是著名的非商用入侵检测系统之一
下一代入侵检测专家系统NIDES • NIDES基本沿用了IDES的入侵检测机制。 • 采用统计分析方法实现异常行为检测。 • 采用规则匹配方法实现已知攻击检测。 • 但NIDES原型系统在统计分析算法、组件接口、组件封装、 可移植性、可扩展性和用户接口等方面都对IDES进行了重 大改进。 • 1994年9月正式发布了最终测试版本。 • NIDES是著名的非商用入侵检测系统之一
商用入段检测系统问世 网络安金 NETWORK SECURIY ·因特网安全系统公司Iss( nternet security systems)在 1994年4月创建的同时,发布了因特网安全漏洞扫描软件 Internet scanner。1996年12月,ISs公司又推出实时入侵检 测产品 Realsecure。 ·1997年5月,两家美国著名的网络安全公司 McAfee Associates 和 Network Genera合并组建了网络联盟有限公司NAI ( network associates inc.)。随后NA与 Wheel Group公司合 作,推出了 CyberCop入侵防护系统( Cyber Cop intrusion protection) 思科公司(csco)将 Wheel Group公司早期开发的网络实时入 侵检测系统 NetRanger更名为 Secure IDs
商用入侵检测系统问世 • 因特网安全系统公司ISS(Internet security systems)在 1994年4月创建的同时,发布了因特网安全漏洞扫描软件 Internet Scanner。1996年12月,ISS公司又推出实时入侵检 测产品RealSecure。 • 1997年5月,两家美国著名的网络安全公司McAfee Associates 和Network General合并组建了网络联盟有限公司NAI (network associates inc.)。随后NAI与WheelGroup公司合 作,推出了CyberCop 入侵防护系统(CyberCop intrusion protection)。 • 思科公司(Cisco )将Wheel Group公司早期开发的网络实时入 侵检测系统NetRanger更名为Secure IDS
Realsecure 网络安金 NETWORK SECURIY Realsecure采用传感器( sensor)和管理控制台( workgroup manager)两级体系结构。 ·传感器包括网络传感器( network sensor)、系统传感器(oS sensor)和服务传感器( server sensor),网络传感器负责对网络数 据包进行检测。系统传感器检测系统文件和系统日志。服务传感器则对 服务器系统文件、系统日志和进出服务器的网络数据实施检测。 ·传感器与管理控制台之间的通信采用128- bit rsa进行加密和认证,具 有详细的协议分析功能和出色的碎片重组能力,并且支持多种品牌防火 墙和路由器的联动配置,一旦检测到非法入侵即可立即切断网络连接
RealSecure • RealSecure采用传感器(sensor)和管理控制台(workgroup manager)两级体系结构。 • 传感器包括网络传感器(network sensor)、系统传感器(OS sensor)和服务传感器(server sensor),网络传感器负责对网络数 据包进行检测。系统传感器检测系统文件和系统日志。服务传感器则对 服务器系统文件、系统日志和进出服务器的网络数据实施检测。 • 传感器与管理控制台之间的通信采用128-bit RSA进行加密和认证,具 有详细的协议分析功能和出色的碎片重组能力,并且支持多种品牌防火 墙和路由器的联动配置,一旦检测到非法入侵即可立即切断网络连接