入侵检测与入侵响应.ppt

《入侵检测与入侵响应.ppt》由会员分享，可在线阅读，更多相关《入侵检测与入侵响应.ppt（23页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、入侵检测与入侵响应 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望防范入侵的几种方法n入侵预防入侵预防利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。n入侵检测入侵检测n容忍入侵容忍入侵当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。n入侵响应入侵响应入侵检测系统（IDS）n入侵（入侵（Intrusion）:企图进入或滥用计算机系统的行为。n入侵检测入侵检测（Intrusion Detection）：）：对系统的运行状态进行监视，发现各种攻

2、击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。n入侵检测系统（入侵检测系统（Intrusion Detection System）进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测的分类（入侵检测的分类（1）n按照分析方法（检测方法）按照分析方法（检测方法）n异常检测异常检测（Anomaly Detection):首先总结正首先总结正常操作应该具有的特征（用户轮廓），常操作应该具有的特征（用户轮廓），当用户活当用户活动与正常行为有重大偏离时即被认为是入侵动与正常行为有重大偏离时即被认为是入侵 n误用检测误用检测（Misuse Detection)：收集非正常操：收集

3、非正常操作的行为特征，建立相关的特征库，作的行为特征，建立相关的特征库，当监测的用当监测的用户或系统行为与库中的记录相匹配时，系统就认户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵为这种行为是入侵 入侵检测的分类（入侵检测的分类（2）n按照数据来源：按照数据来源：n基于主机：系统获取数据的依据是系统运行所在基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机的主机，保护的目标也是系统运行所在的主机n基于网络：系统获取的数据是网络传输的数据包，基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行保护的是网络的运行n混合型混合型入侵检测的分类（入

4、侵检测的分类（3）n按系统各模块的运行方式按系统各模块的运行方式n集中式：系统的各个模块包括数据的集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行n分布式：系统的各个模块分布在不同分布式：系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类（入侵检测的分类（4）n根据时效性根据时效性n脱机分析：行为发生后，对产生的数脱机分析：行为发生后，对产生的数据进行分析据进行分析n联机分析：在数据产生的同时或者发联机分析：在数据产生的同时或者发生改变时进行分析生改变时进行分析IDS能做什么？n监控网络和系统n发现入侵企图或异常现象n实时报警n主动响

5、应（非常有限）入侵响应系统（IRS）n入侵响应（Intrusion Response）：当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。n入侵响应系统（Intrusion Response System）实施入侵响应的系统入侵响应系统分类（1）n按响应类型n报警型响应系统n人工响应系统n自动响应系统入侵响应系统分类（2）n按响应方式：n基于主机的响应n基于网络的响应入侵响应系统分类（3）n按响应范围n本地响应系统n协同入侵响应系统响应方式（1）n记录安全事件 n产生报警信息 n记录附加日志 n激活附加入侵检测工具 n隔离入侵者IP n禁止被攻击对象的特定端口和服务 n隔离被攻击对象

6、较温和被动响应介于温和和严厉之间主动响应响应方式（2）n警告攻击者 n跟踪攻击者 n断开危险连接 n攻击攻击者 较严厉主动响应自动响应系统的结构响应决策响应执行响应决策知识库响应工具库安全事件响应策略响应命令自动入侵响应总体结构几种自动入侵响应n基于代理自适应响应系统AAIRS（Adaptive Agent-based Intrusion Response System）n基于移动代理（Mobile Agent)的入侵响应系统n基于IDIP协议的响应系统IDIP协议（Intruder Detection and Isolation Protocol，入侵者检测与隔离协议）n基于主动网络(Act

7、ive Network)的响应系统 IDIP的背景nIntruder Detection and Isolation protocol(IDIP)nCooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attack sourcesnUse of device independent tracing and blocking directivesnCentralized reporting and coordinatio

8、n of intrusion responsesIDIP的概念nObjectives nshare the information necessary to enable intrusion tracking and containmentnOrganized into two primary protocol layernIDIP application layer and IDIP message layernThree major message typentracenreportndiscovery Coordinator directives(undo,do)协同入侵跟踪和响应结构C

9、ITRAnCITRA（Cooperative Intrusion Traceback and Response Architecture）采用IDIP协议，使用入侵检测系统、路由器、防火墙、网络安全管理系统和其它部分相互配合以实现下列目的：1、穿越网络边界，追踪网络入侵。2、入侵发生后，防止或减轻后续破坏和损失。3、向协调管理器报告入侵活动。4、协调入侵响应。CITRA 的背景CommunityBoundary ControllersDiscovery CoordinatorIntrusion Detection SystemNeighborhood 2Intrusion Detection

10、SystemNeighborhood 1Neighborhood 3Boundary ControllersBoundary ControllerIDIP Initial Intrusion responseIntrusion Detection System1235Boundary ControllersDiscovery CoordinatorIntrusion Detection SystemBoundary ControllersBoundary Controller4自动入侵响应存在的问题n技术不成熟，存在大量误警和误响应。不能轻易采取主动响应。n受法律、道德规范等约束n容易被攻击者利用，造成拒绝服务攻击。n目前还主要采取人工响应。n谢谢大家！