云计算与入侵检测

云计算与入侵检测内容摘要：

系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 云计算分层安全和入侵检测系统 1. 概述 2. 入侵检测方法 3. 入侵检测系统的设计原理  入侵检测响应机制 5. 入侵检测标准化工作 6. 云计算分层安全和入侵检测系统 制订响应策略应考虑的要素  系统用户：入侵检测系统用户可以分为网络 安全专家 或管理员 、 系统管理员、安全调查员。 这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待  操作运行环境：入侵检测系统提供的信息形式依赖其运行环境  系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制  规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为 响应策略  弹出窗口报警  Email通知  切断 TCP连接  执行自定义程序  与其他安全产品交互  Firewall  SNMP Trap 压制调速 撤消连接 回避 隔离 SYN/ACK RESETs 自动响应 •一个高级的网络节点在使用 “ 压制调速 ” 技术的情况下 ， 可以 采用路由器把攻击者引导到一个经过特殊装备的系统上 ， 这种系统被成为蜜罐  蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力  蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定 蜜罐 1. 概述 2. 入侵检测方法 3. 入侵检测系统的设计原理 4. 入侵检测响应机制  入侵检测标准化工作 6. 云计算分层安全和入侵检测系统 IDS标准化要求  随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸  网络的安全要求 IDS之间 能够相互协作，能够与访问控制、应急、入侵追踪等系统交换信息，形成一个整体有效的安全保障系统  需要一个标准来加以指导，系统之间要有一个约定 CIDF (The Common Intrusion Detection Framework) CIDF  CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，这是一个开放组织。 实际上 CIDF已经成为一个开放的共享的资源  CIDF是一套规范，它定义了 IDS表达检测信息的标准语言以及 IDS组件之间的通信协议  符合 CIDF规范的 IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略  CIDF的主要作用在于集成各种 IDS，使之协同工作，实现各IDS之间的组件重用，所以 CIDF也是构建分布式 IDS的基础 CIDF规格文档 CIDF的规格文档由四部分组成，分别为：  体系结构：阐述了一个标准的 IDS的通用模型  规范语言：定义了一个用来描述各种检测信息的标准语言  内部通讯：定义了 IDS组件之间进行通信的标准协议  程序接口：提供了一整套标准的应用程序接口 通信层次  CIDF将各组件之间的通信划分为三个层次结构： GIDO层（ GIDO layer）、消息层（ Message layer）和传输层（ Negotiated Transport layer）  其中传输层不属于 CIDF规范，它可以采用很多种现有的传输机制来实现。