虛擬機器自省技術強化入侵偵測系統

19 分鐘閱讀

傳統入侵偵測系統(IDS)大多隻能取得主機內部資訊,視野相對受限。虛擬機器自省(VMI)技術的出現,讓 IDS 能從虛擬機器監控器(VMM)層級取得更底層的系統狀態資訊,例如硬體狀態、事件和軟體狀態,有效提升入侵偵測的準確性。由於 VMM 負責硬體虛擬化,並具備隔離、監控和介入能力,即使攻擊者成功入侵虛擬機器,其行為也難逃 VMM 的法眼。入侵防禦系統(IPS)則更進一步,不僅能偵測惡意活動,還能主動阻斷,例如丟棄惡意封包、封鎖攻擊源 IP 或重置連線。更完善的入侵偵測與防禦系統(IDPS)則結合了 IDS 和 IPS 的優勢,兼具偵測和防禦功能。例如,IDPS 的 inline 感測器佈署在網路邊界,能及時阻斷攻擊,如同防火牆的功能。此外,入侵回應系統(IRS)更能根據攻擊型別自動執行預定義的回應動作,無需人工干預。例如,EMERALD 這個分散式 IRS 系統,就能追蹤大規模網路中的惡意活動,並自動產生回應。除了這些技術,文章也介紹了一些商用和學術界的防禦系統,例如 AlienVault、ArcSight Enterprise Security Manager 和 CA-Host-Based IPS 等,它們各有特色,適用於不同的場景。

如何運用虛擬機器自省技術強化入侵偵測系統?

傳統的入侵偵測系統(IDS)往往受限於主機內部的資訊,難以全面掌握系統的真實狀態。但如果能從虛擬機器監控器(VMM)層級進行監控,就能夠獲得更底層、更可靠的系統視角。

VMI:入侵偵測的新視野

Garfinkel 和 Rosenblum 提出的根據虛擬機器自省(VMI)的 IDS 架構,正是利用了 VMM 的優勢。VMM 負責硬體虛擬化,同時也提供了隔離、監控和介入的能力。透過 VMI,IDS 可以觀察主機的硬體狀態、事件和軟體狀態,從而更有效地偵測潛在的入侵行為。

我認為這種架構的優勢在於,攻擊者難以在 VMM 層級隱藏自己的蹤跡。即使攻擊者成功入侵了虛擬機器,其行為仍然可能被 VMM 監控到。

入侵防禦系統:主動出擊

入侵防禦系統(IPS)是 IDS 的進階版本,它不僅能夠偵測惡意活動,還能夠主動阻止入侵行為。IPS 可以透過以下方式來實作防禦:

  • 丟棄惡意封包
  • 產生警示
  • 封鎖來自攻擊源 IP 位址的流量
  • 重置連線

Javvin:網路層級的防禦體系

Javvin 是一種網路型 IPS 架構,它將 IPS 佈署在網路的各個區域,形成一個多層次的防禦體系。每個區域都受到 IPS 系統的保護,這些 IPS 協同工作,共同抵禦入侵。

這種架構的優點是能夠在網路層級及早發現並阻止攻擊,防止攻擊擴散到內部系統。

動態智慧雲端防火牆:靈活應變

Jia 和 Wang 提出了一種根據動態分散式雲端防火牆聯動的智慧型 IPS 模型。這個模型能夠偵測、攔截和處理最新的攻擊,例如電腦病毒和惡意網站。此外,它還能為使用者提供最佳的防禦方案,實作主動防禦。

我認為這種模型的關鍵在於其動態性和智慧性。它可以根據網路環境的變化,自動調整防禦策略,並利用雲端資源來增強防禦能力。

IDPS:偵測與防禦的結合

入侵偵測與防禦系統(IDPS)結合了 IDS 和 IPS 的優勢。IDPS 的偵測模組負責監控和分析網路流量,如果發現任何異常,防禦模組會主動丟棄或封鎖惡意流量。

Scarfone 和 Mell 提出的 IDPS 就在網路中佈署了 inline 感測器。inline 感測器能夠及早阻止攻擊,就像防火牆一樣,佈署在外部網路和不同內部網路的邊界上。

EMERALD:自動化的入侵回應系統

入侵回應系統(IRS)能夠根據攻擊型別,自動執行預定義的回應動作。與 IDS 不同,IRS 不需要人工干預,能夠在偵測到入侵後立即做出回應。

EMERALD 是一個成功的 IRS 案例。它是一個分散式且可擴充套件的系統,能夠追蹤大型網路中的惡意活動。EMERALD 具有高度分散式的監控、攻擊隔離和自動回應生成能力,使其成為一個非常有吸引力的 IRS 解決方案。

玄貓認為,EMERALD 的分散式架構使其能夠更好地應對大規模的網路攻擊。

商用與學術界的防禦系統

以下介紹一些在過去二十年中出現的商用和學術界的防禦系統:

  • AlienVault: 這是一個開源的安全資訊與事件管理系統(SIEM),旨在提供安全、入侵偵測和防禦功能。它適用於商業和非商業領域,根據 Debian Linux 核心,可以佈署在 VMware 虛擬機器、Amazon EC2 雲端或直接在硬體上。AlienVault 透過感測器元件收集日誌資訊,並執行檔案完整性監控、日誌正規化和 SIEM 事件關聯。
  • ArcSight Enterprise Security Manager: 這是一個安全事件管理系統。它會分析和關聯每個發生的事件,以維持安全風險和合規性違規的精確優先順序。範例事件包括登入、登出、檔案存取和資料函式庫查詢。ArcSight 的關聯引擎非常強大,可以處理數百萬條日誌記錄,以偵測關鍵事件。然後,它會與安全管理員溝通,報告這些事件。
  • CA-Host-Based IPS: 這個工具在主機環境中提供五種服務:端點防火牆、作業系統安全、入侵偵測、入侵防禦和應用程式控制。它可以透過一個直觀的控制檯從中央位置佈署和管理,從而提高階點安全性。

隨著雲端運算和網路攻擊的日益複雜化,玄貓認為,未來的入侵偵測與防禦系統將會更加智慧化、自動化,並能夠更好地適應不斷變化的網路環境。

多元防禦:企業級入侵偵測與防禦系統的選擇與實戰

在現今網路威脅日益複雜的環境下,入侵偵測與防禦系統(IDS/IPS)已成為企業資安防禦的重要一環。面對眾多解決方案,如何選擇最適合自身需求的系統,並有效佈署與管理,是每個資安團隊都必須面對的挑戰。

Checkpoint IPS-1:閘道式防禦的靈活選擇

Checkpoint IPS-1 採用閘道防火牆技術,可同時保護客戶端與伺服器。它能根據來源、目的地和連線埠資訊封鎖流量,並檢查流量內容。Checkpoint IPS 的獨特之處在於其佈署彈性,既可作為軟體佈署,也可作為獨立感測器使用,無需搭配防火牆。

Cisco IDS:特徵導向的即時監控

Cisco IDS 是一個根據網路的入侵偵測系統,透過特徵資料函式庫觸發入侵警示。其感測器能即時監控網路流量封包,並透過指令控制介面將警示傳輸至管理平台。這個平台負責軟體組態、日誌建立和警示顯示。

Cisco MARS:環境感知與威脅視覺化

Cisco Security Monitoring, Analysis, and Response System (MARS) 透過學習網路環境結構(包括拓撲、組態和行為)來識別威脅。它能視覺化攻擊路徑,並識別威脅來源,簡化管理和應對流程。與 Cisco Security Manager 軟體的整合,更進一步提升了其易用性。

DeepNines IPS:多層檢測與智慧防火牆

DeepNines IPS 佈署在網路層,通常位於路由器前方等關鍵位置,作為第一道防線。它具備多重檢測方法、智慧防火牆、碎片控制、策略檢查、特徵導向 IPS 和自適應速率控制等功能。

Enterasys IPS:全方位保護與無縫整合

Enterasys Intrusion Prevention System 具備領先業界的入侵防禦能力,能確保企業關鍵資源的機密性、完整性和可用性。它能記錄攻擊者的活動、移除非法使用者的網路存取權,並重新組態網路以抵禦滲透。Enterasys IPS 提供廣泛的偵測能力、主機型和網路型佈署選項,並且 Enterasys Secure Networks 架構無縫整合。

FlowMatrix:免費的網路行為分析工具

Flow Matrix 是一款由 Akma Labs 開發的免費安全工具,提供網路行為分析和異常偵測功能。它是一個非商業的網路型偵測系統。

IBM Proventia Desktop Endpoint Security:自動化的端點防禦

IBM Proventia Desktop 是一個自動化的端點安全系統,透過在單一主機上提供多層安全防護,降低已知和未知攻擊的風險。它易於管理,並有助於防止資料竊取。

IBM Proventia Network IPS Series:高效能的網路安全解決方案

對於需要高速網路的大型企業和電信供應商而言,IBM Proventia Network IPS Series 提供了一個兼具高效安全性和高效能的最佳化平台。它是一個新一代防火牆解決方案,將防火牆和入侵防禦系統整合到單一模組中。

IBM Tivoli Security Operation Manager:自主監控與威脅應對

IBM Tivoli Security Operation Manager 能夠自主監控和分析整個 IT 基礎架構中收集的資料,以偵測入侵或任何威脅。它還提供最佳化、事件識別、調查和應對功能。透過監控和管理安全策略,它能幫助使用者瞭解威脅,並在威脅轉變為不良事件之前加以緩解。

iPolicy Intrusion Detection/Prevention:高效能的即時攻擊偵測與防禦

iPolicy Intrusion Detection/Prevention Firewall 結合了入侵偵測引擎和入侵防禦引擎,提供全面的、高效能的、即時攻擊偵測和防禦。其偵測元件使用多種偵測技術來偵測入侵,形成一個即時高速偵測引擎。它應用根據特徵的偵測來識別已知攻擊,iPolicy IDS/IPS 特徵資料函式庫包含超過 2000 個條目。此外,它還具備應用感知協定異常引擎,可偵測異常情況,以及統計流量異常引擎,可偵測可疑行為和分散式阻斷服務(DDoS)攻擊。

TippingPoint IDS/IPS:應用層保護與內容感知

TippingPoint IDS/IPS 提供先進的安全解決方案,保護資源免受已知和未知攻擊。它配備了強大的應用層功能,具備使用者感知能力和輸入/輸出內容調查能力。它具有可擴充套件性和動態性,可與應用程式、網路和資料協同工作。它使用自適應智慧來即時保護資源免受應用層的新型和高階威脅。

StoneGate IPS:主動防禦與流量監控

StoneGate IPS 是一個主動防禦系統,可在任何損害發生之前自動封鎖惡意流量。其 SSL 檢查功能可監控加密的 Web 流量,並防止業務網路流量中斷。感測器裝置最多可保護兩個線路區段。它為每個內聯區段配備一個旁路介面對,以及兩個標準乙太網路介面。這些標準介面用作捕捉介面以偵測入侵,其中一個用於流量管理。

Strata Guard IPS:高速偵測與多層防禦

Strata Guard 是一個高速入侵偵測/防禦系統,具有超過 4 GB 的吞吐量,最多可支援 8 個介面。除了封鎖入侵之外,它還能執行網路稽核和使用策略,並封鎖點對點檔案分享、即時訊息、聊天、禁止的瀏覽活動和蠕蟲傳播。Strata Guard 偵測異常事件,如欺騙的攻擊來源位址,執行 TCP 狀態驗證和在網路上執行的粗略服務。Strata Guard 採用強大的開放原始碼 Snort IDS 引擎,使其適用於保護企業級網路。透過其多層動態攻擊驗證技術,Strata Guard 消除了誤報。其多節點、多使用者管理功能允許企業範圍的佈署,並為需要存取安全資料的所有使用者提供適當的控制級別。

Snort IDS:開放原始碼的網路流量監控工具

Snort IDS 是一個根據網路的開放原始碼入侵偵測系統。透過封包嗅探,它能即時監控網路流量,仔細檢查每個封包的 payload,以尋找任何可疑的異常情況。Snort 根據 libpcap,這是一個廣泛用於 TCP/IP 封包嗅探和分析的工具。透過協定分析、內容搜尋和比對,Snort 偵測攻擊方法,包括阻斷服務、緩衝區溢位、CGI 攻擊、隱身埠掃描和 SMB 探測。如果偵測到任何攻擊,Snort 會向 syslog 傳送即時警示。

選擇合適的 IDS/IPS 系統,需要仔細評估企業的具體需求和網路環境。沒有萬能的解決方案,只有最適合的選擇。

在眾多 IDS/IPS 解決方案中,Snort 作為一個開源選項,以其靈活性和可擴充套件性受到許多企業的青睞。以下是一個簡單的 Snort 規則範例,用於檢測 ICMP 流量:

alert icmp any any -> $HOME_NET any (msg:"ICMP traffic detected"; sid:1000001; rev:1;)

內容解密

  • alert: 定義規則的動作,表示觸發警示。
  • icmp: 指定協定為 ICMP。
  • any any -> $HOME_NET any: 定義流量方向,表示來自任何來源的 ICMP 流量,目的地為內部網路。
  • msg:"ICMP traffic detected": 警示訊息,描述觸發警示的原因。
  • sid:1000001: 規則 ID,用於唯一識別規則。
  • rev:1: 規則修訂版本。

這個規則會監控所有 ICMP 流量,並在發現 ICMP 流量時觸發警示。

佈署 IDS/IPS 系統後,持續監控和調整規則是至關重要的。網路環境不斷變化,新的威脅不斷湧現,定期更新規則和調整組態,才能確保 IDS/IPS 系統始終保持最佳效能。

總體而言,選擇和佈署 IDS/IPS 是一個持續的過程,需要不斷學習和適應。透過深入瞭解各種解決方案的優缺點,並結合自身的實際需求,企業才能建立起堅固的資安防禦體系。

探索DDoS防禦系統:從SecureNet到Lee’s IRS的深入分析

在網路安全領域,DDoS(分散式阻斷服務)攻擊始終是一個嚴峻的挑戰。為了應對這些威脅,各種DDoS防禦系統應運而生。本文將探討多種DDoS防禦系統,從入侵偵測到行為分析,再到成本敏感的回應模型,帶領讀者全面瞭解這些技術的特性與應用。

SecureNet IDS/IPS:深度封包檢測與應用感知

SecureNet System透過深度封包檢測和應用感知,在入侵偵測與防禦方面表現出色。它不僅能主動防止入侵,還能被動地偵測潛在威脅。SecureNet的獨特之處在於它能深入瞭解網路流量,從而精確建立周邊防禦,減少不必要的猜測。

玄貓認為,SecureNet的優勢在於其深度分析能力,這使得它能夠在早期階段識別並阻止惡意流量,降低DDoS攻擊造成的影響。

Samhain:主機入侵偵測與集中管理

Samhain是一個主機型入侵偵測系統,專注於檔案完整性檢查、日誌檔案監控與分析,以及Rootkit偵測。它能夠監控多個具有不同作業系統的主機,並透過集中管理簡化維護工作。即使在獨立環境中,Samhain也能有效運作。

玄貓發現,Samhain對於需要監控大量主機的企業來說是一個理想的選擇,其集中管理功能大大降低了維護成本。

Radware’s DefensePro:防火牆前的安全防線

Radware的DefensePro裝置旨在佈署於防火牆之前,提供針對入侵和DoS攻擊的安全防護。它利用行為分析技術來分析網路流量,並產生即時的特徵碼,從而快速應對新出現的威脅。

玄貓觀察到,DefensePro的行為分析能力使其能夠有效應對零日攻擊,即使沒有已知的特徵碼,也能夠識別並阻止惡意活動。

PHPIDS:Web應用程式的入侵偵測

PHPIDS是一個開源的Web應用程式,專門用於偵測來自客戶端的入侵資料。它能檢測跨網站指令碼、SQL注入、標頭注入等多種攻擊,從而加速PHP應用程式的開發,並降低安全方面的成本。

玄貓認為,對於Web開發者來說,PHPIDS是一個寶貴的工具,它能幫助開發者在開發過程中及早發現並修復安全漏洞。

OSSEC:集中管理與即時監控

OSSEC由一個中央管理器和多個代理程式組成。中央管理器負責監控來自代理程式的所有資訊,並集中儲存規則和解碼器,以便於大規模佈署。代理程式則安裝在受監控的系統上,負責即時收集資訊並傳送給管理器進行分析。

玄貓發現,OSSEC的集中管理架構使其易於佈署和維護,特別是在大型網路環境中。

McAfee Host Intrusion Prevention for Desktop:端點安全防護

McAfee Host Intrusion Prevention for Desktop是一個商業主機型入侵防禦系統,專為端點桌面設計。它能減少修補頻率、保護資料機密性,並簡化法規遵從。

McAfee的這款產品能夠有效保護企業的端點裝置,降低因漏洞利用而導致的安全風險。

McAfee IntruShield IDS:全面的網路安全解決方案

McAfee IntruShield IDS結合了網路裝置和軟體,提供精確的入侵偵測與防禦、阻斷服務攻擊防護以及網路濫用防護。它結合了即時偵測和預防功能,形成一個全面有效的網路安全系統。

玄貓認為,McAfee IntruShield IDS的綜合性使其能夠應對各種網路安全威脅,為企業提供多層次的保護。

Osiris:集中管理的HIDS

Osiris最初是一些Perl指令碼,後來發展成一個複雜的套件。其架構以集中管理為導向,並使用加密通訊。雖然需要在主機上安裝客戶端,但所有資料都儲存在中央管理器上,減輕了主機的負擔。

玄貓發現,Osiris的集中管理模式簡化了維護工作,但客戶端的安裝可能對某些環境造成不便。

Juniper IDP:全面的內聯網路安全

Juniper IDP產品提供全面的內聯網路安全,可防禦蠕蟲、木馬、間諜軟體、鍵盤記錄器和其他惡意軟體。透過準確識別應用程式流量,確保關鍵應用程式的持續可用性。

玄貓認為,Juniper IDP的優勢在於其能夠在網路層面提供全面的安全防護,降低惡意軟體對企業的影響。

Netfence Gateways:多功能的閘道安全系統

Netfence閘道結合了現代網路安全基礎設施所需的所有功能,主要用作傳統的周邊安全系統。它們也是分支機構網路和統一威脅管理基礎設施的中心實體。其靈活的結構使其能夠滿足客戶需求,例如使用者數量、效能和NIC。

玄貓觀察到,Netfence閘道的多功能性使其成為中小型企業的理想選擇,能夠滿足其各種網路安全需求。

DC&A:延遲回應的入侵回應系統

DC&A是一個靜態主動入侵回應系統,提供延遲回應。回應時間會延遲到攻擊被確認。透過延遲回應,入侵處理在入侵發生後執行,包括還原系統狀態的動作。

玄貓認為,DC&A的延遲回應機制有助於減少誤判,但可能無法及時阻止某些攻擊。

CSM:協同安全管理器

協同安全管理器(CSM)透過延遲回應來執行入侵偵測,直到觀察到的異常與入侵模式比對。它將比對結果自主地報告給分散式環境中的功能,而無需指定的中央站點或伺服器來執行網路稽核資料分析。

玄貓發現,CSM的分散式架構使其能夠在大型網路環境中實作高效的入侵偵測。

BMSL-Based Response:根據行為監控規範語言的回應

根據行為監控規範語言(BMSL)的回應系統能夠簡潔地指定根據安全相關屬性的事件。此動作可以透過呼叫回應函式、分配給狀態變數或一組用於流程隔離的規則來表示。此入侵回應系統以延遲時間提供回應,並具有自主活動。

玄貓認為,BMSL的靈活性使其能夠根據不同的安全事件定義不同的回應策略。

SoSMART:根據案例推理的適應機制

SoSMART模型使用案例推理(CBR)作為一種適應機制,將當前系統狀態與先前識別為入侵的情況進行比對。CBR的用途是定義事件和回應配對,這些配對可以識別可能需要回應的情況,並根據情況關聯回應動作。

玄貓觀察到,SoSMART的案例推理能力使其能夠根據歷史經驗自動調整回應策略。

pH:根據系統呼叫序列的異常檢測

Somayaji和Forrest開發了pH系統,用於偵測和回應入侵。偵測元件由系統呼叫的N-gram序列的正常行為輪廓組成。偏離正常行為的呼叫序列被認為是異常的,可以中止或延遲。

玄貓認為,pH系統的優勢在於其能夠檢測根據行為的異常,即使沒有已知的攻擊特徵碼。

Lee’s IRS:根據成本敏感模型的入侵回應

Lee等人提出了一種根據成本敏感模型的入侵回應方法。作者定義了三個成本因素:處理和分析資料以檢測入侵的營運成本、評估攻擊造成的損害的損害成本以及表徵對入侵做出反應的成本的回應成本。

玄貓發現,Lee’s IRS的成本敏感模型有助於企業在制定入侵回應策略時,充分考慮各種成本因素,從而實作最佳的投資回報。

入侵防禦系統:策略與架構的演進

入侵防禦系統(IRS)在網路安全領域扮演著關鍵角色,它們不僅要快速反應,還需要具備高度的適應性和協同作戰能力。多年來,研究人員和開發者提出了許多創新的 IRS 架構,每種架構都有其獨特的優勢和適用場景。

SARA:快速自動反應的協調者

Survivable Autonomic Response Architecture (SARA) 旨在協調快速自動反應,以應對入侵。SARA 包含多個元件,這些元件如同感測器般收集資訊,分析感測資料,仲裁選擇適當的回應動作,並執行這些回應。這些元件可以在參與的機器之間排序,以提供最強大的防禦。

CITRA:協同合作的防禦體系

The Cooperative Intrusion Traceback and Response Architecture (CITRA) 是一種根據代理的協同解決方案。CITRA 使用鄰域結構來傳播有關檢測到的入侵的資訊,追蹤到攻擊源頭,並提交給中央權威機構。這個中央權威機構,也就是 Discovery Coordinator,負責確定最佳的系統回應並協調全域性回應。

TBAIR:追蹤溯源的主動防禦

The TBAIR (Tracing-Based Active Intrusion Response) 框架嘗試追蹤到入侵源主機,並動態選擇合適的回應,例如遠端封鎖入侵者、隔離受感染的主機等。它的運作根據 Sleepy Watermark Tracing (SWT) 的概念。

Network IRS:成本效益分析的回應策略

Toth 和 Kruegel 提出了一種方法,透過考慮回應動作的成本和收益,並對系統中服務之間的依賴關係進行建模。這種建模揭示了回應目標的優先順序,並可以評估不同回應策略對依賴服務和系統的影響。

Specification-Based IRS:根據規格的協同防禦

Balepin 等人開發了一種系統,其中使用有向圖表示本地資源的層次結構。該系統遵循成本敏感和協同合作的方法。有向圖的節點是系統資源,圖的邊代表資源之間的依賴關係。每個節點都附帶一個回應動作列表,這些動作可以執行以還原資源的工作狀態,以防受到攻擊。

ADEPTS:主動預測攻擊路徑

Foo 等人提出了一種主動回應方法。他們提出的系統採用入侵圖(I-Graph)來構建攻擊目標的模型,從而確定入侵可能擴散的路徑。整合 IDS 將警示對映到 I-Graph 節點,根據警示置信度值指示攻擊擴散情況。最後,根據確定的攻擊目標執行適當的回應動作。

FLIPS:混合自適應的入侵預防

Locasto 等人介紹了一種混合自適應入侵預防系統 (FLIPS)。根據主機的 FLIPS 使用簽名比對和根據異常的分類別。它的目標是檢測和預防程式碼注入攻擊。它使用中間模擬器來檢測注入的惡意攻擊程式碼,並且不生成攻擊簽名。

FAIR:成本敏感的動態回應

Papadaki 和 Furnell 提出了一種成本敏感的回應系統。該系統評估攻擊的靜態和動態特性。為了管理攻擊的重要特徵,使用資料函式庫來分析它們。這些特徵包括目標、應用程式、漏洞等。為了評估攻擊的動態上下文,他們應用了一些有趣的想法。該模型的兩個主要特徵是:(i)能夠輕鬆地為不同的攻擊場景提出不同的回應順序,以及(ii)能夠根據環境變化調整決策。

Kheir’s IRS:依賴關係圖的影響評估

Kheir 等人開發了一個依賴關係圖,用於電腦密性、完整性和可用性的影響。依賴關係圖中存在的每個資源都使用 3D CIA 向量定義。3D CIA 向量值是成本值,這些值可以透過主動監控來估算,也可以使用依賴關係圖進行推斷來快速更新。

OrBAC:風險意識的回應框架

Kanoun 等人率先提供了一個風險意識框架,用於根據入侵情況啟動和停用回應方法。它由一個線上模型及其架構組成。在啟動或停用戰略回應之前,會考慮正在進行的威脅或實際攻擊的成功可能性、累積影響和回應。該模型的主要貢獻是確定何時應該停用戰略回應以及如何停用。

IRDM-HTN:分層任務網路的防禦規劃

Mu 和 Li 報告了一個分層任務網路規劃模型,用於防禦入侵。在這個系統中,每個回應都有一個相關的靜態風險閾值。該值透過其正面效應與負面效應的比率計算得出。當風險指數大於回應靜態閾值時,將佈署所需的回應。他們還提出了一個回應選擇視窗,其中選擇最有效的回應來擊退入侵。

Strasburg’s IRS:根據主機的成本評估框架

Strasburg 等人提出了一個根據主機的框架,用於評估敏感成本和選擇入侵回應。他們引入了一組測量指標,用於表徵與入侵處理方法相關的潛在成本。他們提供了一種入侵回應評估理論,該理論涉及潛在入侵損害的風險、回應動作的有效性以及系統的回應成本。

Jahnke:圖形化建模的攻擊回應

Jahnke 等人提出了一種根據圖的方法來對抗入侵。該圖用於對攻擊資源的影響進行建模。回應措施的效果被考慮在內,以衡量對攻擊的反應。使用來自圖的指標,可以 (a) 在執行回應方法後量化其相關屬性,並且 (b) 更容易在佈署之前估計所有可用回應方法的這些屬性。

DIPS:模糊邏輯的即時入侵預防

Haslum 等人提出了一種即時入侵預防方法。該模型對成本敏感,涉及根據模糊模型的動態風險評估過程。模糊邏輯用於估計風險。

Stakhanova’s IRS:成本敏感的搶佔式回應模型

Stakhanova 等人報告了一種成本敏感的搶佔式入侵回應模型。該模型檢測軟體監控系統行為(例如系統呼叫)中的異常行為。它使用兩個級別的分類別來檢測入侵。在第一步中,如果有正常和異常模式可用,則該模型確定什麼型別的模式。

玄貓的觀點

這些 IRS 架構各有千秋,但它們都體現了網路安全領域不斷演進的趨勢:從被動回應到主動預防,從單點防禦到協同作戰,從靜態規則到動態適應。身為一個在資安領域打滾多年的老兵,玄貓認為,未來的 IRS 將更加智慧化、自動化,能夠在複雜多變的網路環境中,保護我們的系統和資料安全。

玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。