入侵检测技术IntrusionDetection.PPT

8. 数据挖掘 数据挖掘是数据库中的一项技术，它的作用就是从大型数据中抽取知识。 9. 数据融合 数据融合技术通过综合来自多个不同的传感器或数据源的数据，对有关事件、行为以及状态进行分析和推论。 10. 协议分析 协议分析是新一代IDS系统探测攻击的主要技术，它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术的提出弥补了模式匹配技术的一些不足。 入侵响应技术 在入侵检测系统检测到入侵攻击后，就要对入侵行为做出相应的处理，这在入侵检测处理模型中称为入侵响应。 按照响应的内容分类： 系统保护、动态策略和攻击对抗 按照响应的主体分类： 入侵响应可以分为主动响应和被动响应 按照响应的内容，入侵响应可分为系统保护、动态策略和入侵对抗，都属于网络对抗的范畴。 系统保护以减少入侵损失为目的； 动态策略以提高系统安全性为职责； 入侵对抗则不仅可以实时保护系统，还可实现入侵跟踪和反入侵的主动防御策略。 按照响应的主体，入侵响应可以分为主动响应和被动响应： 1. 主动响应 主动响应是系统(自动地或与用户配合)为阻塞或影响攻击进程而采取行动。主动响应能够阻止正在进行的攻击，使得攻击者不能继续访问。更为主动的响应则是IDS系统在检测到攻击时会对攻击者进行反击。 ⑴撤销连接 ⑵断路响应 ⑶SYN/ACK（SYN包/应答响应） ⑷屏蔽发生内部滥用的主机 2. 被动响应技术 被动响应则是系统仅仅简单地记录和报告所检测出的问题 ⑴ 自动通知 当检测到入侵时，IDS系统即给管理员发出警报通知 ⑵ 隔离技术 隔离方法就是限制被信任主机的使用，将 MAC与IP绑定，限定IP地址。 安全部件互动协议和接口标准 不同种类的入侵检测系统之间、入侵检测系统和防火墙之间就存在互动和通信的问题。 数据怎样在不同的安全部件之间传送； 用什么样的接口在安全部件之间传送数据 IDWG（Intrusion Detection Work Group）提交入侵检测报文交换格式（IDMEF）的目的是定义数据格式和交换程序，从而能在入侵检测和响应系统以及控制系统之间共享信息。 实例： 通信双方可以事先约好并设定通信端口，并且相互正确配置对方IP地址，防火墙以服务器的模式来运行，IDS以客户端的模式来运行。通信的具体步骤是： ①初始化通信连接时，一般由IDS向防火墙发起连接； ②建立正常连接后，当IDS产生需要通知防火墙的安全事件时，通过发送约定格式的数据包，来传递必要的互动信息； ③防火墙收到互动信息后，可以实施互动行为，并将结果（成功与否）以约定格式的数据包反馈给IDS。 代理和移动代理技术 1 定义 代理（agent）最早起源于人工智能，是软件应用里的一个新领域，现被广泛地应用于人工智能、网络管理、软件工程等领域，有自动代理、智能代理、软件代理等多种叫法 代理：是一个自治的实体，它能够感知环境，并且对外界的信息做出判断和推理，来控制自己的决策和行动，以便完成一定的任务 2 代理的特征 自治性(Autonomy)：代理的动作和行为是根据自身的知识、内部状态和对外部环境的感知来进行控制。它的运行不受人或其它代理的直接干涉。 反应性(Reactivity)：代理能及时感知环境的变化而做出相应的反应。 社会性(Socialability)：可以通过某种代理语言与其它代理或人进行交互和通信。在Multi-代理中，代理应具有协作和协商能力。 自适应性(Adaptivity)：代理能够根据知识库中的事实和规则进行推理，还能够总结以前的经验，校正行为，即具有学习和自适应的能力。 推理能力(Inferential capability)：代理能够按照抽象的说明完成任务。 移动性(Mobility)：代理能够自主地在网络上跨平台漫游，且状态和行为具有连续性。 3. 移动代理(Mobile Agent ） 移动代理，是一个自动程序，它能够在异构网络环境中从一台机器迁移到另一台机器，迁移前暂停运行（挂起），携带着自身代码和状态抵达目标主机后恢复运行。 移动代理系统则是一个允许代理在系统中不同节点（主机）间迁移的平台，即是一个代理运行环境，代理在其中进行自己的操作。移动代理系统可被简称为移动代理平台。 代理技术应用于入侵检测系统 将代理技术应用于入侵检测后，将形成一个个互相独立的自主地运行的进程（代理），并且这些进程可以在异构网络中从一台机器迁移到另一台机器。代理观察系统行为，相互协作，把它们认为异常的任何行为标记出来。 代理之间是相互独立的，它们可动态地加入系统或从系统中移除，增添新的代理时无须重建整个入侵检测系统 优势: ⑴ 减轻网络负载，减少系统延时 通过将中央节点的处理功能分散在网络中的各个节点上，让代理在这些节点上自主地处理数据