入侵檢測與入侵響應

1、入侵檢測與入侵響應1防范入侵的幾種方法入侵預防利用認證、加密和防火墻技術來保護系統(tǒng)不被入侵者攻擊和破壞。 入侵檢測容忍入侵當系統(tǒng)遭受一定的入侵或攻擊的情況下，仍然能夠提供所希望的服務。入侵響應2入侵檢測系統(tǒng)（IDS）入侵（ Intrusion）: 企圖進入或濫用計算機系統(tǒng)的行為。入侵檢測（Intrusion Detection）：對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測系統(tǒng)（Intrusion Detection System ）進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)3入侵檢測的分類（1）按照分析方法（檢測方法）

2、異常檢測（Anomaly Detection ):首先總結(jié)正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵 誤用檢測（Misuse Detection)：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 4入侵檢測的分類（2）按照數(shù)據(jù)來源：基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行混合型5入侵檢測的分類（3）按系統(tǒng)各模塊的運行方式集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行分布式：

3、系統(tǒng)的各個模塊分布在不同的計算機和設備上6入侵檢測的分類（4）根據(jù)時效性脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析7IDS能做什么？監(jiān)控網(wǎng)絡和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實時報警主動響應（非常有限）8入侵響應系統(tǒng)（IRS）入侵響應（ Intrusion Response） ：當檢測到入侵或攻擊時，采取適當?shù)拇胧┳柚谷肭趾凸舻倪M行。入侵響應系統(tǒng)（Intrusion Response System）實施入侵響應的系統(tǒng)9入侵響應系統(tǒng)分類（1）按響應類型報警型響應系統(tǒng)人工響應系統(tǒng)自動響應系統(tǒng)10入侵響應系統(tǒng)分類（2）按響應方式：基于主機的響應基于網(wǎng)絡的響

4、應11入侵響應系統(tǒng)分類（3）按響應范圍本地響應系統(tǒng)協(xié)同入侵響應系統(tǒng)12響應方式（1）記錄安全事件 產(chǎn)生報警信息 記錄附加日志 激活附加入侵檢測工具 隔離入侵者IP 禁止被攻擊對象的特定端口和服務 隔離被攻擊對象 較溫和被動響應介于溫和和嚴厲之間主動響應13響應方式（2）警告攻擊者 跟蹤攻擊者 斷開危險連接 攻擊攻擊者 較嚴厲主動響應14自動響應系統(tǒng)的結(jié)構響應決策響應執(zhí)行響應決策知識庫響應工具庫安全事件響應策略響應命令自動入侵響應總體結(jié)構15幾種自動入侵響應基于代理自適應響應系統(tǒng)AAIRS（Adaptive Agent-based Intrusion Response System）基于移動代理

5、（Mobile Agent)的入侵響應系統(tǒng)基于IDIP協(xié)議的響應系統(tǒng)IDIP協(xié)議（Intruder Detection and Isolation Protocol，入侵者檢測與隔離協(xié)議） 基于主動網(wǎng)絡(Active Network)的響應系統(tǒng)16IDIP的背景Intruder Detection and Isolation protocol(IDIP) Cooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attac

6、k sourcesUse of device independent tracing and blocking directivesCentralized reporting and coordination of intrusion responses17IDIP的概念Objectives share the information necessary to enable intrusion tracking and containmentOrganized into two primary protocol layerIDIP application layer and IDIP mess

7、age layerThree major message typetracereportdiscovery Coordinator directives ( undo,do)18協(xié)同入侵跟蹤和響應結(jié)構CITRACITRA（Cooperative Intrusion Traceback and Response Architecture）采用IDIP協(xié)議，使用入侵檢測系統(tǒng)、路由器、防火墻、網(wǎng)絡安全管理系統(tǒng)和其它部分相互配合以實現(xiàn)下列目的：1、穿越網(wǎng)絡邊界，追蹤網(wǎng)絡入侵。2、入侵發(fā)生后，防止或減輕后續(xù)破壞和損失。3、向協(xié)調(diào)管理器報告入侵活動。4、協(xié)調(diào)入侵響應。19CITRA 的背景Communit

8、yBoundary ControllersDiscovery CoordinatorIntrusion Detection SystemNeighborhood 2Intrusion Detection SystemNeighborhood 1Neighborhood 3Boundary ControllersBoundary Controller20IDIP Initial Intrusion responseIntrusion Detection System1235Boundary ControllersDiscovery CoordinatorIntrusion Detection SystemBound