入侵检测与入侵响应

《入侵检测与入侵响应》由会员分享，可在线阅读，更多相关《入侵检测与入侵响应（23页珍藏版）》请在装配图网上搜索。

1、入 侵 检 测 与 入 侵 响 应张 运 凯河 北 师 范 大 学 网 络 信 息 中 心 防 范 入 侵 的 几 种 方 法n 入 侵 预 防利 用 认 证 、 加 密 和 防 火 墙 技 术 来 保 护 系 统 不 被 入 侵 者攻 击 和 破 坏 。 n 入 侵 检 测n 容 忍 入 侵当 系 统 遭 受 一 定 的 入 侵 或 攻 击 的 情 况 下 ， 仍 然 能 够 提供 所 希 望 的 服 务 。n 入 侵 响 应 入 侵 检 测 系 统 （ IDS）n 入 侵 （ Intrusion） : 企 图 进 入 或 滥 用 计 算 机 系 统 的 行 为 。n 入 侵 检 测 （ I

2、ntrusion Detection） ：对 系 统 的 运 行 状 态 进 行 监 视 ， 发 现 各 种 攻 击 企 图 、攻 击 行 为 或 者 攻 击 结 果 ， 以 保 证 系 统 资 源 的 机 密性 、 完 整 性 和 可 用 性 。n 入 侵 检 测 系 统 （ Intrusion Detection System ）进 行 入 侵 检 测 的 软 件 与 硬 件 的 组 合 便 是 入 侵 检 测系 统 入 侵 检 测 的 分 类 （ 1）n 按 照 分 析 方 法 （ 检 测 方 法 ）n 异 常 检 测 （ Anomaly Detection ):首 先 总 结 正常 操

3、 作 应 该 具 有 的 特 征 （ 用 户 轮 廓 ） ， 当 用 户 活动 与 正 常 行 为 有 重 大 偏 离 时 即 被 认 为 是 入 侵 n 误 用 检 测 （ Misuse Detection)： 收 集 非 正 常 操作 的 行 为 特 征 ， 建 立 相 关 的 特 征 库 ， 当 监 测 的 用户 或 系 统 行 为 与 库 中 的 记 录 相 匹 配 时 ， 系 统 就 认为 这 种 行 为 是 入 侵 入 侵 检 测 的 分 类 （ 2）n 按 照 数 据 来 源 ：n 基 于 主 机 ： 系 统 获 取 数 据 的 依 据 是 系 统 运 行 所 在的 主 机 ，

4、保 护 的 目 标 也 是 系 统 运 行 所 在 的 主 机n 基 于 网 络 ： 系 统 获 取 的 数 据 是 网 络 传 输 的 数 据 包 ，保 护 的 是 网 络 的 运 行n 混 合 型 入 侵 检 测 的 分 类 （ 3）n 按 系 统 各 模 块 的 运 行 方 式n 集 中 式 ： 系 统 的 各 个 模 块 包 括 数 据 的收 集 分 析 集 中 在 一 台 主 机 上 运 行n 分 布 式 ： 系 统 的 各 个 模 块 分 布 在 不 同的 计 算 机 和 设 备 上 入 侵 检 测 的 分 类 （ 4）n 根 据 时 效 性n 脱 机 分 析 ： 行 为 发 生

5、后 ， 对 产 生 的 数据 进 行 分 析n 联 机 分 析 ： 在 数 据 产 生 的 同 时 或 者 发生 改 变 时 进 行 分 析 IDS能 做 什 么 ？n 监 控 网 络 和 系 统n 发 现 入 侵 企 图 或 异 常 现 象n 实 时 报 警n 主 动 响 应 （ 非 常 有 限 ） 入 侵 响 应 系 统 （ IRS）n 入 侵 响 应 （ Intrusion Response） ：当 检 测 到 入 侵 或 攻 击 时 ， 采 取 适 当 的 措施 阻 止 入 侵 和 攻 击 的 进 行 。n 入 侵 响 应 系 统 （ Intrusion Response System

6、）实 施 入 侵 响 应 的 系 统 入 侵 响 应 系 统 分 类 （ 1）n按响应类型n 报 警 型 响 应 系 统n 人 工 响 应 系 统n 自 动 响 应 系 统 入 侵 响 应 系 统 分 类 （ 2）n按响应方式：n 基 于 主 机 的 响 应n 基 于 网 络 的 响 应 入 侵 响 应 系 统 分 类 （ 3）n按响应范围n 本 地 响 应 系 统n 协 同 入 侵 响 应 系 统 响 应 方 式 （ 1）n 记 录 安 全 事 件 n 产 生 报 警 信 息 n 记 录 附 加 日 志 n 激 活 附 加 入 侵 检 测 工 具 n 隔 离 入 侵 者 IP n 禁 止 被

7、 攻 击 对 象 的 特 定 端 口和 服 务 n 隔 离 被 攻 击 对 象 较 温 和被 动 响 应介 于 温 和和 严 厉 之 间主 动 响 应 响 应 方 式 （ 2）n 警 告 攻 击 者 n 跟 踪 攻 击 者 n 断 开 危 险 连 接 n 攻 击 攻 击 者 较 严 厉主 动 响 应 自 动 响 应 系 统 的 结 构响应决策 响应执行响 应 决 策 知 识 库 响 应工 具 库安 全 事 件 响 应 策 略 响 应 命 令自动入侵响应总体结构 几 种 自 动 入 侵 响 应n 基 于 代 理 自 适 应 响 应 系 统AAIRS（ Adaptive Agent-based I

8、ntrusion Response System）n 基 于 移 动 代 理 （ Mobile Agent)的 入 侵 响 应系 统n 基 于 IDIP协 议 的 响 应 系 统IDIP协 议 （ Intruder Detection and Isolation Protocol， 入侵 者 检 测 与 隔 离 协 议 ） n 基 于 主 动 网 络 (Active Network)的 响 应 系 统 IDIP的 背 景n Intruder Detection and Isolation protocol(IDIP) n Cooperative tracing of intrusions ac

9、ross network boundaries and blocking of intrusions at boundary controllers near attack sourcesn Use of device independent tracing and blocking directives n Centralized reporting and coordination of intrusion responses IDIP的 概 念n Objectives n share the information necessary to enable intrusion tracki

10、ng and containmentn Organized into two primary protocol layern IDIP application layer and IDIP message layern Three major message type n tracen reportn discovery Coordinator directives ( undo,do) 协 同 入 侵 跟 踪 和 响 应 结 构 CITRAn CITRA（ Cooperative Intrusion Traceback and Response Architecture） 采 用 IDIP协

11、 议 ， 使 用 入侵 检 测 系 统 、 路 由 器 、 防 火 墙 、 网 络 安 全 管 理 系统 和 其 它 部 分 相 互 配 合 以 实 现 下 列 目 的 ：1、 穿 越 网 络 边 界 ， 追 踪 网 络 入 侵 。2、 入 侵 发 生 后 ， 防 止 或 减 轻 后 续 破 坏 和 损 失 。3、 向 协 调 管 理 器 报 告 入 侵 活 动 。4、 协 调 入 侵 响 应 。 CITRA 的 背 景CommunityBoundary Controllers Discovery CoordinatorIntrusion Detection SystemNeighborhoo

12、d 2 Intrusion Detection SystemNeighborhood 1Neighborhood 3Boundary ControllersBoundary Controller IDIP Initial Intrusion responseIntrusion Detection System1 2 3 5Boundary Controllers Discovery CoordinatorIntrusion Detection System Boundary ControllersBoundary Controller 4 自 动 入 侵 响 应 存 在 的 问 题n 技 术 不 成 熟 ， 存 在 大 量 误 警 和 误 响 应 。不 能 轻 易 采 取 主 动 响 应 。n 受 法 律 、 道 德 规 范 等 约 束n 容 易 被 攻 击 者 利 用 ， 造 成 拒 绝 服 务 攻 击 。n 目 前 还 主 要 采 取 人 工 响 应 。n 谢 谢 大 家 ！