返回
入侵检测与入侵响应

入侵检测与入侵响应

ID:38358964

大小:118.50 KB

页数:23页

时间:2019-06-11

入侵检测与入侵响应_第1页
入侵检测与入侵响应_第2页
入侵检测与入侵响应_第3页
入侵检测与入侵响应_第4页
入侵检测与入侵响应_第5页
资源描述:

《入侵检测与入侵响应》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测与入侵响应张运凯河北师范大学网络信息中心防范入侵的几种方法入侵预防利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。入侵检测容忍入侵当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。入侵响应入侵检测系统(IDS)入侵(Intrusion):企图进入或滥用计算机系统的行为。入侵检测(IntrusionDetection):对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统(IntrusionDetection

2、System)进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测的分类(1)按照分析方法(检测方法)异常检测(AnomalyDetection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵误用检测(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵入侵检测的分类(2)按照数据来源:基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在

3、的主机基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行混合型入侵检测的分类(3)按系统各模块的运行方式集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行分布式:系统的各个模块分布在不同的计算机和设备上入侵检测的分类(4)根据时效性脱机分析:行为发生后,对产生的数据进行分析联机分析:在数据产生的同时或者发生改变时进行分析IDS能做什么?监控网络和系统发现入侵企图或异常现象实时报警主动响应(非常有限)入侵响应系统(IRS)入侵响应(IntrusionResponse):当检测到入侵

4、或攻击时,采取适当的措施阻止入侵和攻击的进行。入侵响应系统(IntrusionResponseSystem)实施入侵响应的系统入侵响应系统分类(1)按响应类型报警型响应系统人工响应系统自动响应系统入侵响应系统分类(2)按响应方式:基于主机的响应基于网络的响应入侵响应系统分类(3)按响应范围本地响应系统协同入侵响应系统响应方式(1)记录安全事件产生报警信息记录附加日志激活附加入侵检测工具隔离入侵者IP禁止被攻击对象的特定端口和服务隔离被攻击对象较温和被动响应介于温和和严厉之间主动响应响应方式(2)警告攻

5、击者跟踪攻击者断开危险连接攻击攻击者较严厉主动响应自动响应系统的结构响应决策响应执行响应决策知识库响应工具库安全事件响应策略响应命令自动入侵响应总体结构几种自动入侵响应基于代理自适应响应系统AAIRS(AdaptiveAgent-basedIntrusionResponseSystem)基于移动代理(MobileAgent)的入侵响应系统基于IDIP协议的响应系统IDIP协议(IntruderDetectionandIsolationProtocol,入侵者检测与隔离协议)基于主动网络(ActiveN

6、etwork)的响应系统IDIP的背景IntruderDetectionandIsolationprotocol(IDIP)CooperativetracingofintrusionsacrossnetworkboundariesandblockingofintrusionsatboundarycontrollersnearattacksourcesUseofdeviceindependenttracingandblockingdirectivesCentralizedreportingandcoor

7、dinationofintrusionresponsesIDIP的概念ObjectivessharetheinformationnecessarytoenableintrusiontrackingandcontainmentOrganizedintotwoprimaryprotocollayerIDIPapplicationlayerandIDIPmessagelayerThreemajormessagetypetracereportdiscoveryCoordinatordirectives(und

8、o,do)协同入侵跟踪和响应结构CITRACITRA(CooperativeIntrusionTracebackandResponseArchitecture)采用IDIP协议,使用入侵检测系统、路由器、防火墙、网络安全管理系统和其它部分相互配合以实现下列目的:1、穿越网络边界,追踪网络入侵。2、入侵发生后,防止或减轻后续破坏和损失。3、向协调管理器报告入侵活动。4、协调入侵响应。CITRA的背景CommunityBoundaryControllersD

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。