入侵检测与DDoS攻击防范.pdf

入侵检测与DDoS 防范与追踪 入侵检测在安全防护周期中的位置 开始 风险评估 响应和恢复 安全政策 预防措施 检测措施 入侵检测 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测的历史 入侵检测之前：审计 • 审计的定义：产生、记录并检查按时间顺序排列的系 统事件记录的过程 • 审计的目标：确定责任（Accountability ）、评估损失、 定位故障、灾难恢复、记录非法使用 • 金融的审计：跟踪每一笔交易，稽核 • 记帐用的审计（accounting ） • 计算机安全审计（美国DoD 可信系统安全C2级对审计 的要求： 利用系统保护机制审查访问模式、 发现并制止试图绕过系统保护机制的访问 发现从低级到高级的访问权限的转移 入侵检测的历史 1982，James Anderson: 《Computer Security Threat Monitoring and Surveillance》 • 第一次引入了入侵检测的概念； • 提出了对计算机系统风险和威胁的分类： 外部渗透，内部渗透，不法行为 • 提出了利用系统的审计记录检查入侵企图的方法。 Denning , Neumann : IDES • D.E. Denning. An Intrusion Detection Model. IEEE Transactions on Software Engineering, vol. SE-13, pp. 222-232, February 1987 • 基于主机日志分析，异常检测，专家系统 入侵检测的历史 NSM (Network Security Monitor), 1990, Heberlein, Dias, Levitt, Mukherjee, Wood, and Wolber from CSC at UC Davis 第一次把网络流量作为入侵检测的数据源 NSM功能 • 通过网卡采集数据包 • 分析协议，提取特征（连接向量） • 存储和分析特征 入侵检测的历史 美国空军、国家安全局和能源部共同资助 空军密码支持中心、劳伦斯利弗摩尔国家 实验室、加州大学戴维斯分校、Haystack 实 验室，开展对分布式入侵检测系统（DIDS ） 的研究将基于主机和基于网络的检测方法 集成到一起。 分布式入侵检测系统（DIDS ） DAPARIDWG : CIDF （Common Intrusion Detection Framework ） IETF IDWG • IDMEF (Intrusion Detection Message Exchange Format) • 事件产生器（Event generators ） • 事件分析器（Event analyzers ） • 响应单元（Response units ） • 事件数据库（Event databases ） 入侵检测系统结构 事件库 事件采集 告警 分析器 响应/控制 （Sensor）