入侵检测与入侵响应.pptVIP

入侵检测与入侵响应 张运凯 河北师范大学网络信息中心 防范入侵的几种方法 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测 容忍入侵 当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。 入侵响应 入侵检测系统（IDS） 入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。 入侵检测（Intrusion Detection）： 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统（Intrusion Detection System ） 进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测的分类（2） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型 入侵检测的分类（3） 按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 入侵检测的分类（4） 根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析 IDS能做什么？ 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应（非常有限） 入侵响应系统（IRS） 入侵响应（ Intrusion Response） ： 当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。 入侵响应系统（Intrusion Response System） 实施入侵响应的系统 入侵响应系统分类（1） 按响应类型 报警型响应系统 人工响应系统 自动响应系统 入侵响应系统分类（2） 按响应方式： 基于主机的响应 基于网络的响应 入侵响应系统分类（3） 按响应范围 本地响应系统 协同入侵响应系统 响应方式（1） 记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象 响应方式（2） 警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 自动响应系统的结构 几种自动入侵响应 基于代理自适应响应系统 AAIRS（Adaptive Agent-based Intrusion Response System） 基于移动代理（Mobile Agent)的入侵响应系统 基于IDIP协议的响应系统 IDIP协议（Intruder Detection and Isolation Protocol，入侵者检测与隔离协议） 基于主动网络(Active Network)的响应系统 IDIP的背景 Intruder Detection and Isolation protocol(IDIP) Cooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attack sources Use of device independent tracing and blocking directives Centralized reporting and coordination of intrusion responses IDIP的概念 Objectives share the information necessary to enable intrusion tracking and containment Organized into two primary protocol layer IDIP application layer and IDIP message layer Three major message type trace report discovery Coordinator directives ( undo,do) 协同入侵跟踪和响应结构CITRA CITRA（Cooperative Intrusion Traceback and Response Architecture）采用