一种强健的入侵检测系统方案的研究与设计.ppt

一种强健的入侵检测系统方案的研究与设计
张红斌
西安电子科技大学
计算机网络与信息安全教育部重点实验室

主要内容
1、研究的起因
2、强健的入侵检测系统方案
3、保护分布式入侵检测系统的容错计算技术
4、保护容错计算核心的物理隔离技术
5、保护入侵检测子系统的动态变换强制访问控制技术
6、总结
研究的起因
为了满足网络关键服务的安全需求,需要使用入侵检测等安全手段对其进行保护
入侵检测等安全手段本身也面临安全威胁
现有的保护手段多半采用“访问控制”等方法阻止其进入故障状态
强健的入侵检测系统方案
保护分布式入侵检测系统的容错计算技术
保护分布式入侵检测系统的容错计算技术
正常工作
受攻击而更新
周期性更新
通过使用容错计算技术,入侵检测系统具有了从错误中恢复正常的容忍入侵能力
保护容错计算核心的物理隔离技术
保护入侵检测子系统的动态变换强制访问控制技术
如果入侵检测子系统的单体保护(这里指从访问控制等角度采取的保护措施)过于简单,那么入侵者就有可能在很短的时间内连续破坏多个入侵检测子系统而使被破坏的子系统数目超过阈值,此时整个入侵检测系统就失去了容错能力。
动态变换的强制访问控制引入了多种强制访问控制方案保护入侵检测子系统,并且周期性的变换这些保护机制,来抵御入侵者长时间分析入侵检测子系统的保护机制给系统带来的安全威胁。
系统保护机制的变换也是由“发现入侵”和“更新周期”两种事件所驱动的,所以保护机制的变换可以放到系统的更新过程之中,作为更新的一个内容进行。
更新过程如下:
系统还原
变换系统的保护机制
重新配置系统的关键信息
更新入侵规则库和网络接口地址
总结
容错计算技术使分布式入侵检测系统具备了容忍入侵的能力
物理隔离技术保护了容错计算的核心
动态变换的强制访问控制提高了系统防御攻击的能力