2、入侵检测技术主要的发展方向 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构 应用层入侵检测 智能的入侵检测 提供高层统计与决策 令响应策略与恢复研究 入侵检测的评测方法 和其它网络安全部件的协作、与其他安全技术 的结合
2、入侵检测技术主要的发展方向 ❖ 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构。 ❖ 应用层入侵检测 ❖ 智能的入侵检测 ❖ 提供高层统计与决策 ❖ 响应策略与恢复研究 ❖ 入侵检测的评测方法 ❖ 和其它网络安全部件的协作、与其他安全技术 的结合
413)入侵检测系统的功能及分类 1、入侵检测系统的功能 今监测并分析用户和系统的活动,查找非法用户 和合法用户的越权操作。 今检查系统配置和漏洞,并提示管理员修补漏洞 (现在通常由安全扫描系统完成)。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为 操作系统日志管理,并识别违反安全策略的用 户活动等
4.1.3 入侵检测系统的功能及分类 1、入侵检测系统的功能 ❖ 监测并分析用户和系统的活动,查找非法用户 和合法用户的越权操作。 ❖ 检查系统配置和漏洞,并提示管理员修补漏洞 (现在通常由安全扫描系统完成)。 ❖ 评估系统关键资源和数据文件的完整性。 ❖ 识别已知的攻击行为。 ❖ 统计分析异常行为。 ❖ 操作系统日志管理,并识别违反安全策略的用 户活动等
2.入侵检测的分类 对入侵检测技术的分类方法很多,根据着眼 点的不同,主要有下列几种分法:按数据来源和 系统结构分类,入侵检测系统分为3类:基于主机 的入侵检测系统,基于网络的入侵检测系统,分 布式入侵检测系统(混合型)。根据数据分析方 法(也就是检测方法)的不同,可以将入侵检测 系统分为2类:异常检测和误用检测。按数据分析 发生的时间不同,入侵检测系统可以分为2类:离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同,可以分为2类:集中式检测 系统和分布式检测系统
2.入侵检测的分类 对入侵检测技术的分类方法很多,根据着眼 点的不同,主要有下列几种分法:按数据来源和 系统结构分类,入侵检测系统分为3类:基于主机 的入侵检测系统,基于网络的入侵检测系统,分 布式入侵检测系统(混合型)。根据数据分析方 法(也就是检测方法)的不同,可以将入侵检测 系统分为2类:异常检测和误用检测。按数据分析 发生的时间不同,入侵检测系统可以分为2类:离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同,可以分为2类:集中式检测 系统和分布式检测系统
414入侵响应( ntrusion Response 入侵响应就是当检测到入侵或攻击时,采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式,按响应类型可分为:报警型响应系统、 人工响应系统、自动响应系统;按响应方式可分为:基 于主机的响应、基于网络的响应;按响应范围可分为: 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时,采用的技术很多,又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括:记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等
4.1.4 入侵响应(Intrusion Response) 入侵响应就是当检测到入侵或攻击时,采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式,按响应类型可分为:报警型响应系统、 人工响应系统、自动响应系统;按响应方式可分为:基 于主机的响应、基于网络的响应;按响应范围可分为: 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时,采用的技术很多,又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括:记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等
Garfinkel和 Spafford于1996年 不好情都堡范(不要第了 Zwcy针对人侵攻击提出了如下七步建议: 第一步:估计形势并决定需要做出那些响应 第二步:如果有必要就断开连接或关闭资源 第三步:事故分析和响应 第四步:根据响应策略向其他人报警 第五步:保存系统状态 第六步:恢复遭到攻击的系统工程 第七步:记录所发生的一切
Garfinkel和Spafford于1996年推荐了两个重要 的响应方案:第一个是保持冷静,不要惊慌。第 二个是对每件事情都进行记录。Chapman与 Zwicky也针对入侵攻击提出了如下七步建议: 第一步:估计形势并决定需要做出那些响应 第二步:如果有必要就断开连接或关闭资源 第三步:事故分析和响应 第四步:根据响应策略向其他人报警 第五步:保存系统状态 第六步:恢复遭到攻击的系统工程 第七步:记录所发生的一切