978-7-03-030368-4《计算机网络安全(第三版)》第7章计.pptVIP

（3） 入侵检测的分类 1）按照分析方法（检测方法） 异常检测（Anomaly Detection ) 误用检测（Misuse Detection) 2）按照数据来源 基于主机 基于网络 混合型 3）按系统各模块的运行方式 集中式 分布式 4）根据时效性 脱机分析 联机分析 * 2.入侵响应 入侵响应（ Intrusion Response） ——是指当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行；入侵响应系统（Intrusion Response System）是指实施入侵响应的系统。 * 入侵响应系统的分类 1）按响应类型分类 报警型响应系统 人工响应系统 自动响应系统 2）按响应方式分类 基于主机的响应 基于网络的响应 3）按照响应范围分类 本地响应系统 网络协同响应系统 * 入侵响应的方式 入侵响应的方式，根据严厉程度不同，可以分为以下几个级别 第一级别，较温和的被动响应方式，包括以下几种响应： 记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 第二，介于温和与严厉之间的主动响应方式： 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象 第三级别，较为严厉的主动响应方式： 警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 * 自动入侵响应 入侵预防、入侵检测和容忍入侵在解决网络入侵问题上都发挥了很大的作用，但这些方法都是被动地解决入侵问题。而入侵响应系统在入侵发生后能够主动保护受害系统，阻击入侵者。目前，入侵防范研究的重点还是在入侵预防和入侵检测上，入侵响应还大都只是在IDS系统中实现，其响应方式和响应能力受到一定限制。 * * 自动入侵响应系统的模型如图7-2所示，系统的输入是入侵检测系统输出的安全 事件；响应决策模块依据响应决策知识库，决定对于输入的安全事件做出什么响应，产生响应策略响应某种中间语言描述，然后由响应执行模块解释执行，并调用响应工具库中预先编制好的响应工具；响应评估模块对作出的响应进行评估，评估结果再反馈到响应决策模块，调整和改进响应决策机制。在自动入侵响应中，响应决策模块是整个系统的核心，因为及时、有效、合理的响应策略是提高系统响应性能的关键。 * 常见自动入侵响应有以下几种类型 基于代理自适应响应系统AAIRS（Adaptive Agent-based Intrusion Response System） 基于移动代理（Mobile Agent)的入侵响应系统 基于IDIP协议的响应系统（IDIP——Intruder Detection and Isolation Protocol） 基于主动网络(Active Network)的响应系统 * 3. 入侵追踪 网络攻击的追踪是对网络攻击做出的正确响应的前提。一旦网络遭到攻击，如何追踪入侵者并将其绳之以法，是十分必要的。入侵追踪一般包括两个各方面的工作。 第一，发现入侵者的IP地址、MAC地址或是认证的主机名。 第二，追踪攻击源，确定入侵者的真实位置。 * (1) IP地址追踪 使用netstat命令：发现入侵者的IP地址是很基础的一项追踪技术。使用netstat命令可以获得所有连接被测主机的网络用户的IP地址。Windows系列系统、Unix系统、Linux系统等常用操作系统都可以使用该命令。 日志数据：系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接最有效的证据。 原始数据报文：由于系统主机有被攻陷的可能，因此，利用系统日志获取攻击者信息有时候就不可靠。捕获原始数据报文并对数据进行分析，是确定攻击源的另一个比较重要的可靠方法。 有哪些信誉好的足球投注网站引擎：此方法是人为因素较多。黑客们经常可能在论坛等网络社区炫耀自己的攻击成果，借助有哪些信誉好的足球投注网站引擎，可以搜集这些信息，获取被攻击证据。 * (2) 攻击源追踪 在追踪网络攻击中，大部分网络攻击者都采用IP地址欺骗技术，这样，采用IP地址追踪方法难以实现追踪目的。因此，网络攻击追踪技术研究重点就转为如何重构攻击路径，或者说如何真实定位攻击源地址和攻击路径。 攻击源追踪技术大致可以分为两类 被动追踪技术：只在被攻击的主机或网络嗅探到攻击现象发生后才启动追踪。 主动追踪技术：在攻击尚未发生时，转发数据报文的节点将自身的标识信息发送给报文的接收方。被攻击方在检测到被攻击时，利用这些报文重构攻击路径。 * 入口过滤——通过配置路由器来组织那些具有非法源地址的报文。 链路测试——链路测试又包含输入检测和受控泛洪两种措施。 输入检测方法要求被攻击的系统从所有报文中描述出攻击报文标志。管理员逐层上流出口端配置合适的输入检测并检测攻击来源。 受控泛洪方法就是制造泛洪攻击，通过观察路由器的状态来判断攻击路径。 日志记载——在传输路径上的一些重要路由