230 likes | 381 Views
入侵检测与入侵响应. 张顺颐 南京邮电大学信息网络技术研究所. 防范入侵的几种方法. 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测 容忍入侵 当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。 入侵响应. 入侵检测系统( IDS ). 入侵( Intrusion ) : 企图进入或滥用计算机系统的行为。 入侵检测 ( Intrusion Detection ): 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 。
E N D
入侵检测与入侵响应 张顺颐 南京邮电大学信息网络技术研究所
防范入侵的几种方法 • 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 • 入侵检测 • 容忍入侵 当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。 • 入侵响应
入侵检测系统(IDS) • 入侵( Intrusion): 企图进入或滥用计算机系统的行为。 • 入侵检测(Intrusion Detection): 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。 • 入侵检测系统(Intrusion Detection System ) 进行入侵检测的软件与硬件的组合便是入侵检测系统
入侵检测的分类(1) • 按照分析方法(检测方法) • 异常检测(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 • 误用检测(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
入侵检测的分类(2) • 按照数据来源: • 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 • 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行 • 混合型
入侵检测的分类(3) • 按系统各模块的运行方式 • 集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行 • 分布式:系统的各个模块分布在不同的计算机和设备上
入侵检测的分类(4) • 根据时效性 • 脱机分析:行为发生后,对产生的数据进行分析 • 联机分析:在数据产生的同时或者发生改变时进行分析
IDS能做什么? • 监控网络和系统 • 发现入侵企图或异常现象 • 实时报警 • 主动响应(非常有限)
入侵响应系统(IRS) • 入侵响应( Intrusion Response) : 当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。 • 入侵响应系统(Intrusion Response System) 实施入侵响应的系统
入侵响应系统分类(1) • 按响应类型 • 报警型响应系统 • 人工响应系统 • 自动响应系统
入侵响应系统分类(2) • 按响应方式: • 基于主机的响应 • 基于网络的响应
入侵响应系统分类(3) • 按响应范围 • 本地响应系统 • 协同入侵响应系统
响应方式(1) • 记录安全事件 • 产生报警信息 • 记录附加日志 • 激活附加入侵检测工具 • 隔离入侵者IP • 禁止被攻击对象的特定端口和服务 • 隔离被攻击对象 较温和 被动响应 介于温和 和严厉之间 主动响应
响应方式(2) • 警告攻击者 • 跟踪攻击者 • 断开危险连接 • 攻击攻击者 较严厉 主动响应
自动响应系统的结构 响应决策 响应执行 响应命令 响应策略 安全事件 响应决策 知识库 响应 工具库 自动入侵响应总体结构
几种自动入侵响应 • 基于代理自适应响应系统 AAIRS(Adaptive Agent-based Intrusion Response System) • 基于移动代理(Mobile Agent)的入侵响应系统 • 基于IDIP协议的响应系统 IDIP协议(Intruder Detection and Isolation Protocol,入侵者检测与隔离协议) • 基于主动网络(Active Network)的响应系统
IDIP的背景 • Intruder Detection and Isolation protocol(IDIP) • Cooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attack sources • Use of device independent tracing and blocking directives • Centralized reporting and coordination of intrusion responses
IDIP的概念 • Objectives • share the information necessary to enable intrusion tracking and containment • Organized into two primary protocol layer • IDIP application layer and IDIP message layer • Three major message type • trace • report • discovery Coordinator directives ( undo,do)
协同入侵跟踪和响应结构CITRA • CITRA(Cooperative Intrusion Traceback and Response Architecture)采用IDIP协议,使用入侵检测系统、路由器、防火墙、网络安全管理系统和其它部分相互配合以实现下列目的: 1、穿越网络边界,追踪网络入侵。 2、入侵发生后,防止或减轻后续破坏和损失。 3、向协调管理器报告入侵活动。 4、协调入侵响应。
Community Neighborhood 1 Boundary Controller Discovery Coordinator Neighborhood 3 Neighborhood 2 Boundary Controllers Boundary Controllers Intrusion Detection System Intrusion Detection System CITRA 的背景
5 1 3 4 2 IDIP Initial Intrusion response Boundary Controller Discovery Coordinator Boundary Controllers Intrusion Detection System Intrusion Detection System Boundary Controllers
自动入侵响应存在的问题 • 技术不成熟,存在大量误警和误响应。不能轻易采取主动响应。 • 受法律、道德规范等约束 • 容易被攻击者利用,造成拒绝服务攻击。 • 目前还主要采取人工响应。 • ……
作业:P137.1 P138.7 P142.22