入侵检测与入侵响应.ppt

入侵检测与入侵响应张运凯河北师范大学网络信息中心防范入侵的几种方法入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。入侵检测容忍入侵 当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。入侵响应企图进入或滥用计算机系统的行为。入侵（Intrusion）:对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测（IntrusionDetection）：进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测系统（IntrusionDetectionSystem）入侵检测系统（IDS）按照分析方法（检测方法）异常检测（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵入侵检测的分类（1）基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机02按照数据来源：01混合型04基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行03入侵检测的分类（2）按系统各模块的运行方式0102集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行03分布式：系统的各个模块分布在不同的计算机和设备上入侵检测的分类（3）根据时效性脱机分析：行为发生后，对产生的数据进行分析联机分析：在数据产生的同时或者发生改变时进行分析入侵检测的分类（4）01监控网络和系统03实时报警02发现入侵企图或异常现象04主动响应（非常有限）IDS能做什么？入侵响应（IntrusionResponse）：当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。入侵响应系统（IntrusionResponseSystem）实施入侵响应的系统入侵响应系统（IRS）按响应类型人工响应系统报警型响应系统自动响应系统入侵响应系统分类（1）按响应方式：01基于主机的响应02基于网络的响应03入侵响应系统分类（2）协同入侵响应系统本地响应系统按响应范围010203入侵响应系统分类（3）响应方式（1）记录安全事件产生报警信息记录附加日志激活附加入侵检测工具隔离入侵者IP禁止被攻击对象的特定端口和服务隔离被攻击对象较温和被动响应介于温和和严厉之间主动响应警告攻击者跟踪攻击者断开危险连接攻击攻击者较严厉主动响应响应方式（2）自动响应系统的结构响应策略响应命令01自动入侵响应总体结构安全事件02响应决策知识库响应决策03响应工具库响应执行几种自动入侵响应基于代理自适应响应系统AAIRS（AdaptiveAgent-basedIntrusionResponseSystem）基于移动代理（MobileAgent)的入侵响应系统基于IDIP协议的响应系统IDIP协议（IntruderDetectionandIsolationProtocol，入侵者检测与隔离协议）基于主动网络(ActiveNetwork)的响应系统01040203IntruderDetectionandIsolationprotocol(IDIP)CooperativetracingofintrusionsacrossnetworkboundariesandblockingofintrusionsatboundarycontrollersnearattacksourcesUseofdeviceindependenttracingandblockingdirectivesCentralizedreportingandcoordinationofintrusionresponsesIDIP的背景