云计算与入侵检测.pptVIP

云计算分层安全和入侵检测系统入侵检测响应机制概述入侵检测方法?入侵检测系统的设计原理入侵检测标准化工作入侵检测方法入侵检测标准化工作概述入侵检测系统的设计原理?入侵检测响应机制云计算分层安全和入侵检测系统系统用户：入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待操作运行环境：入侵检测系统提供的信息形式依赖其运行环境系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为制订响应策略应考虑的要素弹出窗口报警01E-mail通知02切断TCP连接03执行自定义程序04与其他安全产品交互05Firewall06SNMPTrap07响应策略压制调速撤消连接回避隔离01SYN/ACK02RESETs03自动响应蜜罐一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制?入侵检测标准化工作云计算分层安全和入侵检测系统随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸01网络的安全要求IDS之间能够相互协作，能够与访问控制、应急、入侵追踪等系统交换信息，形成一个整体有效的安全保障系统02需要一个标准来加以指导，系统之间要有一个约定03IDS标准化要求CIDF

(TheCommonIntrusionDetectionFramework)CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略CIDF的主要作用在于集成各种IDS，使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础3214CIDF程序接口：提供了一整套标准的应用程序接口04内部通讯：定义了IDS组件之间进行通信的标准协议03规范语言：定义了一个用来描述各种检测信息的标准语言02体系结构：阐述了一个标准的IDS的通用模型01CIDF的规格文档由四部分组成，分别为：CIDF规格文档CIDF将各组件之间的通信划分为三个层次结构：GIDO层（GIDOlayer）、消息层（Messagelayer）和传输层（NegotiatedTransportlayer）其中传输层不属于CIDF规范，它可以采用很多种现有的传输机制来实现消息层负责对传输的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层不关心传输的内容，它只负责建立一个可靠的传输通道GIDO层负责对传输信息的格式化，正是因为有了GIDO这种统一的信息表达格式，才使得各个IDS之间的互操作成为可能通信层次云计算与入侵检测概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作云计算分层安全和入侵检测系统2入侵检测方法5入侵检测标准化工作3入侵检测系统的设计原理6云计算分层安全和入侵检测系统1?概述4入侵检测响应机制网络安全威胁日益增长贰网络攻击造成的破坏性和损失日益严重壹单纯的防火墙无法防范复杂多变的攻击叁IDS存在与发展的必然性IDS的作用ADBC防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁单一防护产品的弱点为什么需要IDS仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知关于防火墙网络边界的设备，只能抵挡外部來的入侵行为自身存在弱点，也可能被攻破对某些攻击保护很弱即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限030405060102为什么需要IDS01入侵很容易02入侵教程随处可见03各种工具唾手可得为什么需要IDS网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击