文档介绍:第七章
入侵检测与响应
概述
入侵检测方法
入侵检测系统的设计原理
入侵检测响应机制
入侵检测标准化工作
其它
通信系统典型攻击
保密性: 窃听、业务流分析
完整性: 篡改、重放、木马
鉴别:冒充、IP欺骗、会话重放、会话劫持
不可否认性:抵赖
可用性:拒绝服务、蠕虫病毒、中断
主要的传统安全技术
加密
消息摘要、数字签名
身份鉴别:口令、鉴别交换协议、生物特征
访问控制
安全协议: IPSec、SSL
网络安全产品与技术:防火墙、VPN
内容控制: 防病毒、内容过滤等
预防(prevention)、防护(protection)
预防措施的局限性
建造一个绝对安全的计算机系统是不可能的
加密算法本身也存在问题。认证技术并不能抵制脆弱性口令,木马,网络嗅探器等攻击。
绝对安全的系统虽然抵挡了非法用户的入侵,仍然易于受到合法用户的非授权操作的攻击。
访问控制和用户工作效率之间的矛盾不易解决。
P2DR安全模型
为了保障网络安全,需要重视提高系统检测攻击和入侵的能力——入侵检测能力。
以安全策略为核心
P2DR安全模型
策略:是模型的核心,具体的实施过程中,策略意味着网络安全要达到的目标。
防护:安全规章、安全配置、安全措施
检测:异常监视、模式发现
响应:报告、记录、反应、恢复
Pt > Dt + Rt �Pt****系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。��Dt ****从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。��Rt ****从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
�防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能够被检测到并及时处理。
传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全。
入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的定义