补充组网补充知识.pptVIP

上海交通大学计算机系 补充： 组网补充知识 目 录 一、入侵检测和入侵响应 二、容灾方案 三、网络存储技术 一、入侵检测和入侵响应 防范入侵的几种方法： 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测 容忍入侵 当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。 入侵响应 入侵检测系统（IDS） 入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。 入侵检测（Intrusion Detection）： 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统（Intrusion Detection System ） 进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测的分类（2） 按照数据来源： 基于主机（Host-based IDS简称HIDS）： HIDS从主机/服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息，系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 HIDS的检测引擎被称为主机代理。 基于网络（ Network-based IDS，简称NIDS） ：系统获取的数据是网络传输的数据包，保护整个网段，保证网络的运行。 NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内，不占用网络资源，保护整个网段。 混合型（Hybrid IDS）：目前主流IDS产品都采用HIDS和NIDS有机结合，既可以发现网络中的攻击信息，也能从主机中发现异常情况。 入侵检测的分类（3） 按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 入侵检测的分类（4） 根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析 IDS能做什么？ 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应（非常有限） 入侵检测技术 1、模式匹配 ????模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。 入侵检测新进展 1、协议分析和状态协议分析 ???? 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。 入侵响应系统（IRS） 入侵响应（ Intrusion Response） ： 当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。 入侵响应系统（Intrusion Response System） 实施入侵响应的系统 入侵响应系统分类（1） 按响应类型 报警型响应系统 人工响应系统 自动响应系统 入侵响应系统分类（2） 按响应方式： 基于主机的响应 基于网络的响应 入侵响应系统分类（3） 按响应范围 本地响应系统 协同入侵响应系统 响应方式（1） 记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象 响应方式（2） 警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 自动响应系统的结构 几种自动入侵响应 基于代理自适应响应系统 AAIRS（Adaptive Agent-based Intrusion Response System） 基于移动代理（Mobile Agent)的入侵响应系统 基于IDIP协议的响应系统 IDIP协议（Intruder Detection and Isolation Protocol，入侵者检测与隔离协议）