1 / 23

入侵检测与入侵响应

入侵检测与入侵响应. 张顺颐 南京邮电大学信息网络技术研究所. 防范入侵的几种方法. 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测 容忍入侵 当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。 入侵响应. 入侵检测系统( IDS ). 入侵( Intrusion ) : 企图进入或滥用计算机系统的行为。 入侵检测 ( Intrusion Detection ): 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 。

raziya
Download Presentation

入侵检测与入侵响应

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 入侵检测与入侵响应 张顺颐 南京邮电大学信息网络技术研究所

  2. 防范入侵的几种方法 • 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 • 入侵检测 • 容忍入侵 当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。 • 入侵响应

  3. 入侵检测系统(IDS) • 入侵( Intrusion): 企图进入或滥用计算机系统的行为。 • 入侵检测(Intrusion Detection): 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。 • 入侵检测系统(Intrusion Detection System ) 进行入侵检测的软件与硬件的组合便是入侵检测系统

  4. 入侵检测的分类(1) • 按照分析方法(检测方法) • 异常检测(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 • 误用检测(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵

  5. 入侵检测的分类(2) • 按照数据来源: • 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 • 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行 • 混合型

  6. 入侵检测的分类(3) • 按系统各模块的运行方式 • 集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行 • 分布式:系统的各个模块分布在不同的计算机和设备上

  7. 入侵检测的分类(4) • 根据时效性 • 脱机分析:行为发生后,对产生的数据进行分析 • 联机分析:在数据产生的同时或者发生改变时进行分析

  8. IDS能做什么? • 监控网络和系统 • 发现入侵企图或异常现象 • 实时报警 • 主动响应(非常有限)

  9. 入侵响应系统(IRS) • 入侵响应( Intrusion Response) : 当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。 • 入侵响应系统(Intrusion Response System) 实施入侵响应的系统

  10. 入侵响应系统分类(1) • 按响应类型 • 报警型响应系统 • 人工响应系统 • 自动响应系统

  11. 入侵响应系统分类(2) • 按响应方式: • 基于主机的响应 • 基于网络的响应

  12. 入侵响应系统分类(3) • 按响应范围 • 本地响应系统 • 协同入侵响应系统

  13. 响应方式(1) • 记录安全事件 • 产生报警信息 • 记录附加日志 • 激活附加入侵检测工具 • 隔离入侵者IP • 禁止被攻击对象的特定端口和服务 • 隔离被攻击对象 较温和 被动响应 介于温和 和严厉之间 主动响应

  14. 响应方式(2) • 警告攻击者 • 跟踪攻击者 • 断开危险连接 • 攻击攻击者 较严厉 主动响应

  15. 自动响应系统的结构 响应决策 响应执行 响应命令 响应策略 安全事件 响应决策 知识库 响应 工具库 自动入侵响应总体结构

  16. 几种自动入侵响应 • 基于代理自适应响应系统 AAIRS(Adaptive Agent-based Intrusion Response System) • 基于移动代理(Mobile Agent)的入侵响应系统 • 基于IDIP协议的响应系统 IDIP协议(Intruder Detection and Isolation Protocol,入侵者检测与隔离协议) • 基于主动网络(Active Network)的响应系统

  17. IDIP的背景 • Intruder Detection and Isolation protocol(IDIP) • Cooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attack sources • Use of device independent tracing and blocking directives • Centralized reporting and coordination of intrusion responses

  18. IDIP的概念 • Objectives • share the information necessary to enable intrusion tracking and containment • Organized into two primary protocol layer • IDIP application layer and IDIP message layer • Three major message type • trace • report • discovery Coordinator directives ( undo,do)

  19. 协同入侵跟踪和响应结构CITRA • CITRA(Cooperative Intrusion Traceback and Response Architecture)采用IDIP协议,使用入侵检测系统、路由器、防火墙、网络安全管理系统和其它部分相互配合以实现下列目的: 1、穿越网络边界,追踪网络入侵。 2、入侵发生后,防止或减轻后续破坏和损失。 3、向协调管理器报告入侵活动。 4、协调入侵响应。

  20. Community Neighborhood 1 Boundary Controller Discovery Coordinator Neighborhood 3 Neighborhood 2 Boundary Controllers Boundary Controllers Intrusion Detection System Intrusion Detection System CITRA 的背景

  21. 5 1 3 4 2 IDIP Initial Intrusion response Boundary Controller Discovery Coordinator Boundary Controllers Intrusion Detection System Intrusion Detection System Boundary Controllers

  22. 自动入侵响应存在的问题 • 技术不成熟,存在大量误警和误响应。不能轻易采取主动响应。 • 受法律、道德规范等约束 • 容易被攻击者利用,造成拒绝服务攻击。 • 目前还主要采取人工响应。 • ……

  23. 作业:P137.1 P138.7 P142.22

More Related