入侵检测与入侵响应
《入侵检测与入侵响应》由会员分享,可在线阅读,更多相关《入侵检测与入侵响应(23页珍藏版)》请在装配图网上搜索。
1、入 侵 检 测 与 入 侵 响 应张 运 凯河 北 师 范 大 学 网 络 信 息 中 心 防 范 入 侵 的 几 种 方 法n 入 侵 预 防利 用 认 证 、 加 密 和 防 火 墙 技 术 来 保 护 系 统 不 被 入 侵 者攻 击 和 破 坏 。 n 入 侵 检 测n 容 忍 入 侵当 系 统 遭 受 一 定 的 入 侵 或 攻 击 的 情 况 下 , 仍 然 能 够 提供 所 希 望 的 服 务 。n 入 侵 响 应 入 侵 检 测 系 统 ( IDS)n 入 侵 ( Intrusion) : 企 图 进 入 或 滥 用 计 算 机 系 统 的 行 为 。n 入 侵 检 测 ( I
2、ntrusion Detection) :对 系 统 的 运 行 状 态 进 行 监 视 , 发 现 各 种 攻 击 企 图 、攻 击 行 为 或 者 攻 击 结 果 , 以 保 证 系 统 资 源 的 机 密性 、 完 整 性 和 可 用 性 。n 入 侵 检 测 系 统 ( Intrusion Detection System )进 行 入 侵 检 测 的 软 件 与 硬 件 的 组 合 便 是 入 侵 检 测系 统 入 侵 检 测 的 分 类 ( 1)n 按 照 分 析 方 法 ( 检 测 方 法 )n 异 常 检 测 ( Anomaly Detection ):首 先 总 结 正常 操
3、 作 应 该 具 有 的 特 征 ( 用 户 轮 廓 ) , 当 用 户 活动 与 正 常 行 为 有 重 大 偏 离 时 即 被 认 为 是 入 侵 n 误 用 检 测 ( Misuse Detection): 收 集 非 正 常 操作 的 行 为 特 征 , 建 立 相 关 的 特 征 库 , 当 监 测 的 用户 或 系 统 行 为 与 库 中 的 记 录 相 匹 配 时 , 系 统 就 认为 这 种 行 为 是 入 侵 入 侵 检 测 的 分 类 ( 2)n 按 照 数 据 来 源 :n 基 于 主 机 : 系 统 获 取 数 据 的 依 据 是 系 统 运 行 所 在的 主 机 ,
4、保 护 的 目 标 也 是 系 统 运 行 所 在 的 主 机n 基 于 网 络 : 系 统 获 取 的 数 据 是 网 络 传 输 的 数 据 包 ,保 护 的 是 网 络 的 运 行n 混 合 型 入 侵 检 测 的 分 类 ( 3)n 按 系 统 各 模 块 的 运 行 方 式n 集 中 式 : 系 统 的 各 个 模 块 包 括 数 据 的收 集 分 析 集 中 在 一 台 主 机 上 运 行n 分 布 式 : 系 统 的 各 个 模 块 分 布 在 不 同的 计 算 机 和 设 备 上 入 侵 检 测 的 分 类 ( 4)n 根 据 时 效 性n 脱 机 分 析 : 行 为 发 生
5、后 , 对 产 生 的 数据 进 行 分 析n 联 机 分 析 : 在 数 据 产 生 的 同 时 或 者 发生 改 变 时 进 行 分 析 IDS能 做 什 么 ?n 监 控 网 络 和 系 统n 发 现 入 侵 企 图 或 异 常 现 象n 实 时 报 警n 主 动 响 应 ( 非 常 有 限 ) 入 侵 响 应 系 统 ( IRS)n 入 侵 响 应 ( Intrusion Response) :当 检 测 到 入 侵 或 攻 击 时 , 采 取 适 当 的 措施 阻 止 入 侵 和 攻 击 的 进 行 。n 入 侵 响 应 系 统 ( Intrusion Response System
6、)实 施 入 侵 响 应 的 系 统 入 侵 响 应 系 统 分 类 ( 1)n按响应类型n 报 警 型 响 应 系 统n 人 工 响 应 系 统n 自 动 响 应 系 统 入 侵 响 应 系 统 分 类 ( 2)n按响应方式:n 基 于 主 机 的 响 应n 基 于 网 络 的 响 应 入 侵 响 应 系 统 分 类 ( 3)n按响应范围n 本 地 响 应 系 统n 协 同 入 侵 响 应 系 统 响 应 方 式 ( 1)n 记 录 安 全 事 件 n 产 生 报 警 信 息 n 记 录 附 加 日 志 n 激 活 附 加 入 侵 检 测 工 具 n 隔 离 入 侵 者 IP n 禁 止 被
7、 攻 击 对 象 的 特 定 端 口和 服 务 n 隔 离 被 攻 击 对 象 较 温 和被 动 响 应介 于 温 和和 严 厉 之 间主 动 响 应 响 应 方 式 ( 2)n 警 告 攻 击 者 n 跟 踪 攻 击 者 n 断 开 危 险 连 接 n 攻 击 攻 击 者 较 严 厉主 动 响 应 自 动 响 应 系 统 的 结 构响应决策 响应执行响 应 决 策 知 识 库 响 应工 具 库安 全 事 件 响 应 策 略 响 应 命 令自动入侵响应总体结构 几 种 自 动 入 侵 响 应n 基 于 代 理 自 适 应 响 应 系 统AAIRS( Adaptive Agent-based I
8、ntrusion Response System)n 基 于 移 动 代 理 ( Mobile Agent)的 入 侵 响 应系 统n 基 于 IDIP协 议 的 响 应 系 统IDIP协 议 ( Intruder Detection and Isolation Protocol, 入侵 者 检 测 与 隔 离 协 议 ) n 基 于 主 动 网 络 (Active Network)的 响 应 系 统 IDIP的 背 景n Intruder Detection and Isolation protocol(IDIP) n Cooperative tracing of intrusions ac
9、ross network boundaries and blocking of intrusions at boundary controllers near attack sourcesn Use of device independent tracing and blocking directives n Centralized reporting and coordination of intrusion responses IDIP的 概 念n Objectives n share the information necessary to enable intrusion tracki
10、ng and containmentn Organized into two primary protocol layern IDIP application layer and IDIP message layern Three major message type n tracen reportn discovery Coordinator directives ( undo,do) 协 同 入 侵 跟 踪 和 响 应 结 构 CITRAn CITRA( Cooperative Intrusion Traceback and Response Architecture) 采 用 IDIP协
11、 议 , 使 用 入侵 检 测 系 统 、 路 由 器 、 防 火 墙 、 网 络 安 全 管 理 系统 和 其 它 部 分 相 互 配 合 以 实 现 下 列 目 的 :1、 穿 越 网 络 边 界 , 追 踪 网 络 入 侵 。2、 入 侵 发 生 后 , 防 止 或 减 轻 后 续 破 坏 和 损 失 。3、 向 协 调 管 理 器 报 告 入 侵 活 动 。4、 协 调 入 侵 响 应 。 CITRA 的 背 景CommunityBoundary Controllers Discovery CoordinatorIntrusion Detection SystemNeighborhoo
12、d 2 Intrusion Detection SystemNeighborhood 1Neighborhood 3Boundary ControllersBoundary Controller IDIP Initial Intrusion responseIntrusion Detection System1 2 3 5Boundary Controllers Discovery CoordinatorIntrusion Detection System Boundary ControllersBoundary Controller 4 自 动 入 侵 响 应 存 在 的 问 题n 技 术 不 成 熟 , 存 在 大 量 误 警 和 误 响 应 。不 能 轻 易 采 取 主 动 响 应 。n 受 法 律 、 道 德 规 范 等 约 束n 容 易 被 攻 击 者 利 用 , 造 成 拒 绝 服 务 攻 击 。n 目 前 还 主 要 采 取 人 工 响 应 。n 谢 谢 大 家 !
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。