入侵检测与入侵响应张运凯

1、入侵检测与入侵响应1防范入侵的几种方法入侵预防利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测容忍入侵当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。入侵响应2入侵检测系统（IDS）入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。入侵检测（Intrusion Detection）：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统（Intrusion Detection System ）进行入侵检测的软件与硬件的组合便是入侵检测系统3入侵检测的分类（1）按照分析方法（检测方法）

2、异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 4入侵检测的分类（2）按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型5入侵检测的分类（3）按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行分布式：

3、系统的各个模块分布在不同的计算机和设备上6入侵检测的分类（4）根据时效性脱机分析：行为发生后，对产生的数据进行分析联机分析：在数据产生的同时或者发生改变时进行分析7IDS能做什么？监控网络和系统发现入侵企图或异常现象实时报警主动响应（非常有限）8入侵响应系统（IRS）入侵响应（ Intrusion Response） ：当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。入侵响应系统（Intrusion Response System）实施入侵响应的系统9入侵响应系统分类（1）按响应类型报警型响应系统人工响应系统自动响应系统10入侵响应系统分类（2）按响应方式：基于主机的响应基于网络的响

4、应11入侵响应系统分类（3）按响应范围本地响应系统协同入侵响应系统12响应方式（1）记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象 较温和被动响应介于温和和严厉之间主动响应13响应方式（2）警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 较严厉主动响应14自动响应系统的结构响应决策响应执行响应决策知识库响应工具库安全事件响应策略响应命令自动入侵响应总体结构15几种自动入侵响应基于代理自适应响应系统AAIRS（Adaptive Agent-based Intrusion Response System）基于移动代理

5、（Mobile Agent)的入侵响应系统基于IDIP协议的响应系统IDIP协议（Intruder Detection and Isolation Protocol，入侵者检测与隔离协议） 基于主动网络(Active Network)的响应系统16IDIP的背景Intruder Detection and Isolation protocol(IDIP) Cooperative tracing of intrusions across network boundaries and blocking of intrusions at boundary controllers near attac

6、k sourcesUse of device independent tracing and blocking directivesCentralized reporting and coordination of intrusion responses17IDIP的概念Objectives share the information necessary to enable intrusion tracking and containmentOrganized into two primary protocol layerIDIP application layer and IDIP mess

7、age layerThree major message typetracereportdiscovery Coordinator directives ( undo,do)18协同入侵跟踪和响应结构CITRACITRA（Cooperative Intrusion Traceback and Response Architecture）采用IDIP协议，使用入侵检测系统、路由器、防火墙、网络安全管理系统和其它部分相互配合以实现下列目的：1、穿越网络边界，追踪网络入侵。2、入侵发生后，防止或减轻后续破坏和损失。3、向协调管理器报告入侵活动。4、协调入侵响应。19CITRA 的背景Communit

8、yBoundary ControllersDiscovery CoordinatorIntrusion Detection SystemNeighborhood 2Intrusion Detection SystemNeighborhood 1Neighborhood 3Boundary ControllersBoundary Controller20IDIP Initial Intrusion responseIntrusion Detection System1235Boundary ControllersDiscovery CoordinatorIntrusion Detection SystemBound