第10章入侵检测技术10.pptVIP

第10章 入侵检测的响应问题 10.1 响应策略的确定 10.2 选择恰当的响应类型 10.3 响应组件的设计 在完成对目标系统的安全状态分析并发现问题后，任何的入侵检测系统都需要通知用户知道安全问题的存在及相关的信息数据等。在入侵检测的基本模型中，这就是响应的阶段。理想的用户期望值是根据各种不同类型的用户需求，能够提供不同的响应服务类型，目标是确定攻击类型，并能够尽可能减少安全威胁。 10.1 响应策略的确定 入侵检测的响应策略应该与当前目标组织内的总体安全策略协调一致。在目标组织的安全策略中，一般都会规定在检测到入侵攻击行为或者安全威胁事件时，应该采取哪些行动或者措施来做出恰当的响应。这些行动措施按照响应发生的时间和紧急程度可分为下列4类： 紧急行动、及时行动、本地的长期行动和全局的长期行动。 1. 紧急行动 紧急行动通常要求系统管理员立即跟踪当前正在发生的入侵攻击行为。这类措施包括以下方面： ● 启动安全事件处理程序； ● 尽可能控制损害发生的范围并阻止后继攻击的进一步进行； ● 通知负责信息安全执法的职能部门或者其他相关组织； ● 恢复遭到攻击而停顿的关键任务服务系统。 紧急行动所需的响应时间长短一般取决于本地安全管理策略的具体要求。根据所要执行具体措施的不同以及所遭受攻击行为的危害程度等因素，响应时间的长短需求可以变化。 2. 及时行动 及时行动要求系统管理员对已经确认检测到的攻击行为，采取相应的响应措施。这些措施通常是紧随在紧急行动之后进行，距离安全事件发生的响应时间间隔可以从几小时到数天之间。这类措施包括： ● 手工检查系统中的异常活动模式； ● 调查安全事件发生的根源并对其实施安全隔离操作； 3. 本地的长期行动 本地的长期行动涉及那些紧急程度不如紧急行动和及时行动的响应措施，但是这些响应措施对于本地的安全管理过程而言却是不可或缺的。这些措施的影响虽然是本地范围内的，但是对于本地系统内的安全管理体系具有长远的影响力。这类措施包括： ● 编制安全事件的统计报表并适时进行数据的趋势分析工作； ● 追踪历史上出现过的入侵攻击模式。 本地的长期行动通过对历史上出现的入侵攻击模式进行统计分析和评估后，能够确定本地安全策略中需要进行改进和修改的地方。 4. 全局的长期行动 全局的长期行动通常超越了目标组织的安全管理范围，而是对整个社会的安全状态和策略产生积极的影响。所涉及的响应措施，需要通过工业标准化组织和社团或者是权威的指导部门进行统一的协调工作才能进行。这类措施包括： ● 将发现的软件产品中的安全漏洞信息及时通报给生产厂商，并要求进行及时的答复和产品升级服务； ● 与政府职能部门和立法部门等进行积极有效的沟通，推动相关的安全立法工作； ● 向执法部门和权威的安全组织等发送关于安全事件的统计报表，并使其及时向全社会公布。 10.2 选择恰当的响应类型 1. 主动响应 对于主动响应而言，入侵检测系统将在发现异常攻击活动后，采取某种响应手段或措施阻塞实施攻击的进程或者改变受攻击的网络环境配置，从而达到阻止入侵危害性后果的发生或尽可能减小危害性后果的目的。主动响应的手段措施可以有许多类型，其中最为激烈的一种就是对入侵者采取反击措施；但是，在现实环境中，却常常因为种种实际因素而产生潜在的危险性。 主动响应的另外一种较为温和的方法是入侵检测系统可以切断当前异常网络TCP连接，从而终止攻击者与目标系统之间的会话过程，达到阻止攻击继续进行的目标。值得注意的问题是，由此可能引发潜在的“拒绝服务”问题。 更为先进的主动响应手段包括自动修补目标系统的安全漏洞、动态更改检测系统的检测规则集合等方法，甚至包括与“蜜罐”（HoneyPort）系统密切合作，积极收集攻击行为的信息和入侵证据等。 关于主动响应的另外一个问题是，响应的措施是由人工实施还是自动化实现。 2. 被动响应 被动响应指的是入侵检测系统仅仅报告和记录所检测到的异常活动信息。被动响应的手段通常包括如下类型。 ● 警报窗口 ● 远程告警 ● 日志记录 ● 发送网管信息 无论是主动响应，还是被动响应，对于入侵检测任务的完成都是非常重要的。其中的关键问题在于根据用户部署入侵检测系统的目的和实际的网络运行环境来选择恰当的响应手段。 10.3 响应组件的设计 响应组件的设计，首先要考虑用户的需求问题。一般而言，入侵检测系统的用户可以分为3种类型： ① 用户是安全管理员。 ② 用户是系统管理员。他们具体操作入侵检测系统来保护所管理的网络系统。 ③ 用户是安全调查员，他们负责对发生的安全事件进行系统和深入的调查工作，目标是发现安全事件的发生过程，以及谁应该为造成的安全损失负责等法律问题。 不同的用户来操作入侵检测系统，所期望从中得到的信息和结果也各有不同。 响应特性的设计还要考虑