- 1、本文档共57页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
云计算与入侵检测
概述 入侵检测方法 入侵检测系统的设计原理 ? 入侵检测响应机制 入侵检测标准化工作 云计算分层安全和入侵检测系统 制订响应策略应考虑的要素 系统用户:入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同,必须区别对待 操作运行环境:入侵检测系统提供的信息形式依赖其运行环境 系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制 规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为 响应策略 弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall SNMP Trap 压制调速 1、 撤消连接 2、 回避 3、 隔离 SYN/ACK RESETs 自动响应 一个高级的网络节点在使用“压制调速”技术的情况下,可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定 蜜罐 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 ? 入侵检测标准化工作 云计算分层安全和入侵检测系统 IDS标准化要求 随着网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而又难以捉摸 网络的安全要求IDS之间能够相互协作,能够与访问控制、应急、入侵追踪等系统交换信息,形成一个整体有效的安全保障系统 需要一个标准来加以指导,系统之间要有一个约定 CIDF(The Common Intrusion Detection Framework) /drafts CIDF CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源 CIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议 符合CIDF规范的IDS可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策略 CIDF的主要作用在于集成各种IDS,使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础 CIDF规格文档 CIDF的规格文档由四部分组成,分别为: 体系结构:阐述了一个标准的IDS的通用模型 规范语言:定义了一个用来描述各种检测信息的标准语言 内部通讯:定义了IDS组件之间进行通信的标准协议 程序接口:提供了一整套标准的应用程序接口 通信层次 CIDF将各组件之间的通信划分为三个层次结构:GIDO层(GIDO layer)、消息层(Message layer)和传输层(Negotiated Transport layer) 其中传输层不属于CIDF规范,它可以采用很多种现有的传输机制来实现 消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传输通道 GIDO层负责对传输信息的格式化,正是因为有了GIDO这种统一的信息表达格式,才使得各个IDS之间的互操作成为可能 CISL(A Common Intrusion Specification Language ) CIDF的规范语言文档定义了一个公共入侵标准语言CISL,各IDS使用统一的CISL来表示原始事件信息、分析结果和响应指令,从而建立了IDS之间信息共享的基础 CISL是CIDF的最核心也是最重要的内容 匹配服务法(匹配器) CIDF的匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制 匹配器的实现是基于轻量目录访问协议(LDAP)的,每个组件通过目录服务注册,并公告它能够产生或能够处理的GIDO,这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件 目录中还可以存放组件的公共密钥,从而实现对组件接收和发送GIDO时的身份认证 匹配器构成 通信模块:实现客户端(可为任何一个CIDF组件)与匹配代理之间的通信协议 匹配代理:一个任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请求 认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别 客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储 CIDF程序接口 CIDF的程序接口文档描述了用于GIDO编解码以及传输的标准应用程序接口(以下简称为API),它包括以下几部分内
文档评论(0)