Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς

Transcript

1 Συστήματα Ανίχνευσης Εισβολών Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς

2 Στόχοι του Κεφαλαίου Παρουσιάζονται και αναλύονται οι τεχνικές και μηχανισμοί για την προστασία των συστημάτων. Αναπτύσσονται οι βασικές αρχές για ένα περιβάλλον ρβ ανίχνευσης εισβολών Αναλύονται τα μοντέλα εισβολών Παρουσιάζεται η αρχιτεκτονική ενός συστήματος ανίχνευσης εισβολών Επεξηγείται η οργάνωση των συστημάτων Περιγράφεται η πρόληψη περιστατικών ασφάλειας και ο χειρισμός των εισβολών 2/48

3 Βασικές Αρχές Σε υπολογιστικά συστήματα που δέχονται επίθεση ενέργειες των χρηστών και των διεργασιών: δεν ακολουθούν patterns περιλαμβάνουν ακολουθίες εντολών ενάντια στην πολιτική ασφάλειας του συστήματος δε συμμορφώνονται με ένα σύνολο προδιαγραφών που περιγράφουν επιτρεπτές ενέργειες 3/48

4 Βασικά Ζητήματα Ανίχνευσης Εισβολών (1/4) Εργαλείο επίθεσης (attack tool) είναι ένα αυτοματοποιημένο πρόγραμμα σχεδιασμένο να παραβιάζει την πολιτική ασφάλειας ενόςσυστήματος Τέτοια εργαλεία λί συνήθως εξαλείφουν αρκετά ίχνη τους, καθιστώντας δύσκολη την ανίχνευσή τους 4/48

5 Βασικά Ζητήματα Ανίχνευσης Εισβολών (2/4) Το εργαλείο επίθεσης rootkit σχεδιάστηκε να παρακολουθεί (sniff) και να υποκλέπτει τα συνθηματικά από το δίκτυο, διατηρώντας ταυτόχρονα κρυφή την παρουσία του Κατά την εγκατάστασή του σε σύστημα unix, εγκαθιστά τροποποιημένες εκδόσεις των προγραμμάτων ifconfig, ps, passwd, netstat, ls, du κλπ. ώστε να καθιστά δύσκολη την ανίχνευσή του 5/48

6 Βασικά Ζητήματα Ανίχνευσης Εισβολών (3/4) Για την ανίχνευση των εισβολών χρησιμοποιούνται μοντέλα που περιλαμβάνουν: Αποκλίσεις από την κανονική λειτουργία (ανίχνευση διαταραχών anomaly detection) Εκτέλεση των λειτουργιών που οδηγούν σε εισβολές (ανίχνευση κακής συμπεριφοράς misuse detection) Ενέργειες ασυνεπείς με τις προδιαγραφές των προνομιούχων προγραμμάτων (ανίχνευση με βάση προδιαγραφές specification-based detection) 6/48

7 Βασικά Ζητήματα Ανίχνευσης Εισβολών (4/4) Οι στόχοι των Συστημάτων Ανίχνευσης Εισβολών (Intrusion Detection Systems - IDS) είναι: Αί Ανίχνευση μεγάλου εύρους εισβολών Έγκαιρη ανίχνευση εισβολών Παρουσίαση της ανάλυσης με απλή και εύκολα αντιληπτή μορφή Να είναι ακριβή 7/48

8 Μοντέλα Εισβολών (1/3) Τα IDS προσδιορίζουν εάν κάποιες ενέργειες αποτελούν εισβολές με βάση ένα ή περισσότερα μοντέλα εισβολών ένα μοντέλο ταξινομεί μία ακολουθία καταστάσεων ή ενεργειών, ως «καλές» (δηλαδή δεν υπάρχει εισβολή) ή «κακές» (δηλαδή υπάρχουν πιθανές εισβολές) 8/48

9 Μοντέλα Εισβολών (2/3) Τα μοντέλα ανίχνευσης διαταραχών (anomaly models) αποφαίνονται με βάση στατιστικά στοιχεία ταξινομούν τις ενέργειες/καταστάσεις που είναι στατιστικά ασυνήθιστες ως «κακές» Τα μοντέλα κακής συμπεριφοράς (misuse models) συγκρίνουν ενέργειες/καταστάσεις με ακολουθίες που αποτελούν εισβολές (signatures) Τα μοντέλα που βασίζονται στις προδιαγραφές (specification-based models) ταξινομούν τις καταστάσεις που παραβιάζουν τις προδιαγραφές ως «κακές» έ 9/48

10 Μοντέλα Εισβολών (3/3) Τα μοντέλα μπορεί να είναι: Προσαρμοστικά (adaptive): δηλαδή μπορούν να αλλάζουν τη συμπεριφορά τους με βάση τις καταστάσεις και τις ενέργειες των συστημάτων Στατικά (static): δηλαδή αρχικοποιούνται από δεδομένα που έχουν συλλεγεί και δεν τροποποιούνται κατά τη διάρκεια εκτέλεσης του συστήματος 10/48

11 Μοντέλα Ανίχνευσης Αί Διαταραχών Θεωρείται ότι η «απροσδόκητη συμπεριφορά» αποτελεί τεκμήριο εισβολής Αναλύεται και συγκρίνεται η συμπεριφορά ενός συνόλου χαρακτηριστικών του συστήματος, με ένα σύνολο αναμενόμενων τιμών Εξετάζεται κατά πόσο οι τιμές που υπολογίστηκαν ταιριάζουν με τις αναμενόμενες Θα μελετηθούν τρία διαφορετικά στατιστικά μοντέλα: Το μοντέλο τιμών κατωφλίου Το μοντέλο στατιστικών ροπών Το μοντέλο Markov 11/48

12 Μοντέλα Ανίχνευσης Διαταραχών Μοντέλο Τιμών Κατωφλίου Χρησιμοποιεί μία μετρική σχετιζόμενη με τιμές κατωφλίου (threshold metric) Αναμένεται να εμφανιστούν γεγονότα κατ ελάχιστο m και κατά μέγιστο n για κάποιο γεγονός Εάν κατά τη διάρκεια μιας συγκεκριμένης χρονικής περιόδου εμφανίζονται λιγότερα από m γεγονότα ή περισσότερα ρ από n τότε η συμπεριφορά ρ θεωρείται διαταραγμένη 12/48

13 Μοντέλα Ανίχνευσης Διαταραχών Μοντέλο Στατιστικών Ροπών Στατιστικές ροπές (statistical moments) Ο αναλυτής γνωρίζει το μέσο και την τυπική απόκλιση (οι δύο πρώτες ροπές) και πιθανότατα άλλα μέτρα συσχέτισης (ροπές υψηλότερης τάξης) Αν οι τιμές βρίσκονται εκτός του αναμενόμενου διαστήματος, η συμπεριφορά που αντιπροσωπεύουν θεωρείται διαταραγμένη Παρέχουν περισσότερη ευελιξία από τα μοντέλα τιμών κατωφλίου, αφού μπορούν να τα ρυθμιστούν καλύτερα Παράλληλα εμφανίζονται και προβλήματα πολυπλοκότητας δυσκολία της στατιστικής μοντελοποίησης των διεργασιών και χρηστών ο υπολογισμός των ροπών σε πραγματικό χρόνο 13/48

14 Μοντέλα Ανίχνευσης Διαταραχών Μοντέλο Markov Το μοντέλο αυτό εξετάζει ένα σύστημα σε μία συγκεκριμένη χρονική στιγμή Τα γεγονότα που προηγήθηκαν χρονικά έχουν θέσει το σύστημα σε μια συγκεκριμένη κατάσταση Όταν συμβεί το επόμενο γεγονός, το σύστημα μεταβαίνει σε μία νέακατάσταση Όταν ένα γεγονός προκαλεί μία μετάβαση με μικρή πιθανότητα, το γεγονός κρίνεται διαταραγμένο Οι διαταραχές δεν είναι πλέον βασισμένες σε στατιστικά των περιστατικών μεμονωμένων γεγονότων, αλλά σε ακολουθίες γεγονότων 14/48

15 Παραγωγή ήστατιστικών Στοιχείων Η ανίχνευση διαταραχών σχετίζεται άμεσα με την ανίχνευση αποκλίσεων από τις θεωρούμενες λογικές τιμές Οι αποκλίσεις αποτελούν τις διαταραχές Απαραίτητος ο χαρακτηρισμός των κανονικών τιμών Βασίζεται στην ύπαρξη στατιστικών μοντέλων Δίνει καλύτερα αποτελέσματα εάν η κατανομή των τιμών των γεγονότων είναι Gauss Το μοντέλο ενδέχεται να καταγράφει δήθεν διαταραγμένα γεγονότα (false positive) να μην αναφέρει διαταραγμένα γεγονότα (false negative) 15/48

16 Μοντέλο Κακής Συμπεριφοράς (1/2) Ο όρος κακή συμπεριφορά αναφέρεται στη βασισμένη σε κανόνες ανίχνευση Η ανίχνευση κακής συμπεριφοράς (misuse detection) προσδιορίζει εάν μια ακολουθία εντολών που εκτελείται παραβιάζει την πολιτική ασφάλειας Απαιτεί γνώση όλων των ευπαθειών των συστημάτων των δυνητικών ευπαθειών που οι επιτιθέμενοι προσπαθούν ναεκμεταλλευτούν 16/48

17 Μοντέλο Κακής Συμπεριφοράς (2/2) Τα IDS που βασίζονται σε κακή συμπεριφορά Χρησιμοποιούν συνήθως έμπειρα συστήματα για να αναλύσουν τα στοιχεία και να εφαρμόσουν το σύνολο κανόνων Δεν μπορούν να ανιχνεύσουν επιθέσεις που είναι άγνωστες Υπάρχουν συστήματα που χρησιμοποιούν προσαρμοστικές μεθόδους, νευρωνικά δίκτυα (neural networks) και δίκτυα Petri (Petri nets) 17/48

18 Μοντέλο Προδιαγραφών Καθορίζει εάνμιαακολουθία οδηγιών παραβιάζει βάζ ή όχι μια προδιαγραφή σχετικά με τον τρόπο που πρέπει να εκτελείται ένα πρόγραμμα ή ένα σύστημα Πρέπει ελεγχθούν μόνον τα προγράμματα που αλλάζουν την κατάσταση προστασίας των συστημάτων Στηρίζεται είτε στα ίχνη, είτε στις ακολουθίες γεγονότων Ίχνος: Ένα ίχνος συστήματος (system trace) είναι μια ακολουθία γεγονότων t0,t1..., tj,tj+1... κατά τη διάρκεια της εκτέλεσης ενός συστήματος διεργασιών 18/48

19 Συμπεράσματα Υπάρχει διαφοροποίηση η μεταξύ των μοντέλων (α) ανίχνευσης διαταραχών, (β) κακής συμπεριφοράς και (γ) προδιαγραφών Η ανίχνευση κακής συμπεριφοράς ανιχνεύει τις παραβιάσεις μιας πολιτικής Η ανίχνευση διαταραχών ανιχνεύει τις παραβιάσεις του θεωρούμενου ως αναμενόμενου Η ανίχνευση βάσει των προδιαγραφών: ανιχνεύει τις παραβιάσεις βά των προδιαγραφών όλα τα προγράμματα θα πρέπει ακολουθούν τις προδιαγραφές τους η πολιτική του συστήματος δεν μπορεί ναπαραβιαστεί 19/48

20 Αρχιτεκτονική των IDS (1/2) Ένα IDS αποτελείται από τρία μέρη: O αντιπρόσωπος (agent) αποκτά πληροφορίες από ένα στόχο, όπως είναι ένα υπολογιστικό σύστημα Ο διευθυντής (director) αναλύει τα δεδομένα που προέρχονται από τους αντιπροσώπους και μεταδίδει το αποτέλεσμα στον αγγελιοφόρο Ο αγγελιοφόρος (notifier) αποφασίζει πότε και πώς να ειδοποιήσει την αναγκαία οντότητα. 20/48

21 Αρχιτεκτονική των IDS (2/2) Host A Agent Internet Host B Agent Director Host N Agent Host C Agent Notifier 21/48

22 Ο Αντιπρόσωπος (agent) (1/2) Ένας αντιπρόσωπος συλλέγει πληροφορίες από μία πηγή δεδομένων Η πηγή αυτή μπορεί να είναι ένα αρχείο καταγραφής, κάποια άλλη διεργασία ή ένα δίκτυο υπολογιστών Η πληροφορία αποστέλλεται στο διευθυντή είτε απευθείας, είτε αφού υποστεί συγκεκριμένη επεξεργασία και μορφοποίηση Ο διευθυντής μπορεί να ζητήσει από τον αντιπρόσωπο να συλλέξει περισσότερα ρ στοιχεία ή να τα επεξεργασθεί διαφορετικά 22/48

23 Ο Αντιπρόσωπος (agent) (2/2) Ένας αντιπρόσωπος μπορεί να συλλέξει πληροφορίες από ένα μοναδικό υπολογιστή, από ένα σύνολο υπολογιστών, ή από ένα δίκτυο Συλλογή Πληροφοριών Βασισμένη στον Υπολογιστή: Αντλεί πληροφορίες από τα αρχεία καταγραφής του συστήματος και της εφαρμογής Συλλογή Πληροφοριών Βασισμένη στο Δίκτυο: Καταγράφει την κυκλοφορία στο δίκτυο Ανιχνεύονται επιθέσεις προσανατολισμένες στο δίκτυο, όπως μια επίθεση DOS Ελέγχεται η κυκλοφορία για ένα μεγάλο αριθμό υπολογιστών και εξετάζεται το περιεχόμενο της ίδιας της κυκλοφορίας, παρακολουθώντας το περιεχόμενο Είναι εφικτός ο συνδυασμός των πηγών πληροφοριών 23/48

24 Ο Διευθυντής (Director) Ο διευθυντής αναλύοντας τις εισερχόμενες πληροφορίες καθορίζει εάν μια επίθεση βρίσκεται σε εξέλιξη Η μηχανή ανάλυσης μπορεί να χρησιμοποιήσει οποιοδήποτε τεχνική ή σύνολο τεχνικών για να εξάγει τα συμπεράσματα της Πολλοί τύποι διευθυντών τροποποιούν το σύνολο των κανόνων που χρησιμοποιούν για τη λήψη αποφάσεων (προσαρμοστικοί -adaptive) 24/48

25 Ο Αγγελιοφόρος (Notifier) Ο αγγελιοφόρος λαμβάνει την πληροφορία από το διευθυντή και δρομολογεί τις κατάλληλες ενέργειες Αποστέλλει μία απλή ειδοποίηση η προς τον υπεύθυνο ασφαλείας Εκτελέσει κάποιες ενέργειες για να απαντήσει στις επιθέσεις Πολλά συστήματα ανίχνευσης εισβολών χρησιμοποιούν γραφικό περιβάλλον που επιτρέπει στους χρήστες να προσδιορίζουν με σαφήνεια ποιες επιθέσεις βρίσκονται σε εξέλιξη 25/48

26 Οργάνωση των Συστημάτων Ανίχνευσης Εισβολών Ένα σύστημα ανίχνευσης εισβολών μπορεί να οργανωθεί με τρεις κυρίως τρόπους: Εξετάζοντας απλώς την κυκλοφορία στο δίκτυο Ερευνώντας τον τρόπο με τον οποίο μπορούν να διασυνδεθούν οι πηγές από το δίκτυο και τα συνδεδεμένα συστήματα Κατανέμοντας το διευθυντή σε πολλά συστήματα, με σκοπό την ενίσχυση της ασφάλειας και της αξιοπιστίας 26/48

27 Παρακολούθηση η της Κυκλοφορίας στο Δίκτυο για Εισβολές (1/3) Ένα τέτοιο σύστημα, το Network Security Monitor NSM διαμορφώνει αρχικά μια κατατομή για την αναμενόμενη χρήση ενός δικτύου και ακολούθως συγκρίνει την τρέχουσα χρήση με εκείνη της κατατομής Επιτρέπει τον καθορισμό ενός συνόλου υπογραφών (signatures) ώστε να ανιχνεύσει ακολουθίες δικτυακής κίνησης που καταδεικνύουν επιθέσεις Εκτελείται σε ένα τοπικό δίκτυο,, υπολογίζοντας γζ το βαθμό αξιοποίησης του δικτύου και άλλα χαρακτηριστικά και καταγράφει ενδεχόμενη διαταραγμένη συμπεριφορά 27/48

28 Παρακολούθηση της Κυκλοφορίας στο Δίκτυο για Εισβολές (2/3) Τό Τρόπος Λειτουργίας: Το NSM παρακολουθεί την IP διεύθυνση πηγής της κίνησης του δικτύου, τον προορισμό (destination IP) και την παρεχόμενη υπηρεσία (port) Ορίζει μια μοναδική ταυτότητα σύνδεσης (connection ID) για κάθε σύνδεση. Χρησιμοποιεί αυτές τις παραμέτρους (πηγή, προορισμός και υπηρεσία) ) ως άξονες σε τρισδιάστατο δά πίνακα, κάθε στοιχείο του οποίου περιέχει τον αριθμό των πακέτων που στάλθηκαν μέσω εκείνης της σύνδεσης κατά τη διάρκεια μιας καθορισμένης χρονικής περιόδου Επιπλέον υπολογίζει τα αναμενόμενα δεδομένα της σύνδεσης με το δίκτυο Τα δεδομένα του πίνακα συγκρίνονται με τα αναμενόμενα δεδομένα της σύνδεσης και οποιοδήποτε δεδομένο εκτός του αναμενόμενου εύρους ερμηνεύεται ως διαταραχή 28/48

29 Παρακολούθηση της Κυκλοφορίας στο Δίκτυο για Εισβολές (3/3) To NSM είναι σημαντικό για δύο λόγους: Αποτέλεσε τη βάση για ένα μεγάλο αριθμό IDS Απέδειξε ότι η ανίχνευση εισβολών σε δίκτυο ήταν εφικτή σε πρακτικό επίπεδο Η κίνηση του δικτύου χαρακτηρίζεται ολοένα και περισσότερο από κρυπτογραφημένη ροή μηνυμάτων, μειώνοντας τη δυνατότητα ανάλυσης των περιεχομένων των πακέτων Όμως το NSM δεν εξετάζει τα περιεχόμενα της κίνησης. 29/48

30 Συνδυασμένη Προσέγγιση (DIDS) Μια συνδυασμένη προσέγγιση γίνεται από το Distributed Intrusion Detection System (DIDS): Ο αντιπρόσωπος δικτύου αποτελεί μια απλουστευμένη έκδοση του NSM Οι αντιπρόσωποι στα μεμονωμένα συστήματα ελέγχουν τα αρχεία καταγραφής για ύποπτα περιστατικά και τα ανέφεραν στο διευθυντή DIDS Ένα έμπειρο σύστημα βασισμένο σε εντολές, ενεργοποιείται από το διευθυντή για να αναλύσει τα δεδομένα και να εξάγει τα συμπεράσματα 30/48

31 Αυτόνομοι Αντιπρόσωποι (AAFID) (1/4) Σε ένα τυπικό IDS, αστοχία στη λειτουργία του διευθυντή οδηγεί σε πλήρη αποτυχία τη λειτουργία του IDS Προτάθηκε ο διαχωρισμός του συστήματος ανίχνευσης εισβολών σε πολλαπλά συστατικά: Λειτουργούν ανεξάρτητα μεταξύ τους Επικοινωνούν ώστε να συσχετίσουν τις ληφθείσες πληροφορίες Ένας αυτόνομος αντιπρόσωπος είναι μία διεργασία που μπορεί να ενεργεί ανεξάρτητα από το σύστημα του οποίου αποτελεί μέρος 31/48

32 Αυτόνομοι Αντιπρόσωποι (AAFID) (2/4) Καθένας από τους αυτόνομους αντιπροσώπους θα εκτελούσε μία συγκεκριμένη λειτουργία παρακολούθησης ης θα είχε το δικό του εσωτερικό μοντέλο και όταν ο αντιπρόσωπος ανίχνευε απόκλιση από την αναμενόμενη συμπεριφορά ταύτιση με ένα πρότυπο στα πλαίσια ενός συγκεκριμένου κανόνα παραβίαση μιας προδιαγραφής τότε θα ειδοποιούσε σχετικά τους άλλους αντιπροσώπους. Οι αντιπρόσωποι θα καθόριζαν από κοινού εάν το σύνολο των ειδοποιήσεων αποτελεί εισβολή 32/48

33 Αυτόνομοι Αντιπρόσωποι (AAFID) (3/4) Πλεονεκτήματα αυτόνομων αντιπροσώπων: Δεν υπάρχει πλέον ένα δυνητικό σημείο αποτυχίας: Εάν ένας αντιπρόσωπος τεθεί εκτός λειτουργίας (βλάβη ή επίθεση) ) οι υπόλοιποι είναι σε θέση να συνεχίσουν τη λειτουργία τους Ο ίδιος ο διευθυντής κατανέμεται μεταξύ των αντιπροσώπων: δεν μπορεί να υποστεί επίθεση που θα τον θέσει εξ ολοκλήρου εκτός λειτουργίας Εξειδίκευση του κάθε αντιπροσώπου: ο αντιπρόσωπος μπορεί να αναπτυχθεί με τρόπον ώστε να ελέγχει έναν πόρο, παραμένοντας μικρός και απλός Οι αντιπρόσωποι θα μπορούσαν να μεταναστεύσουν (migrate) μέσω των τοπικών δικτύων και να επεξεργαστούν δεδομένα σε πολλαπλά συστήματα 33/48

34 Αυτόνομοι Αντιπρόσωποι (AAFID) (4/4) Μειονεκτήματα αυτόνομων αντιπροσώπων: Αυξημένο υπολογιστικό κόστος των απαιτούμενων επικοινωνιών Πρέπει να διασφαλίζονται τόσο οι επικοινωνίες, όσο και οι κατανεμημένοι υπολογισμοί 34/48

35 Απόκριση στις Εισβολές Μετά την ανίχνευση μιας εισβολής, η αποπειραθείσα επίθεση πρέπει να αντιμετωπισθεί με τρόπο ώστε να ελαχιστοποιείται η ζημιά Μερικοί μηχανισμοί ανίχνευσης εισβολών μπορούν να βελτιωθούν προκειμένου να αποτρέψουν ρψ τους εισβολείς Σε αντίθετη περίπτωση, οι υπεύθυνοι ασφάλειας πρέπει να αποκριθούν στηνεπίθεση και να προσπαθήσουν να αποκαταστήσουν οποιαδήποτε ζημιά προκλήθηκε 35/48

36 Πόλ Πρόληψη Περιστατικών Ανίχνευση και διακοπή των προσπαθειών εισβολής, πριν την επίτευξη του στόχου τους Επιμελή παρακολούθηση του συστήματος, συνήθως με ένα μηχανισμό ανίχνευσης εισβολών Λήψη μέτρων για την αντιμετώπιση δυνητικής επίθεσης Στα πλαίσια της απόκρισης: Εντοπισμός της επίθεσης πριν από την ολοκλήρωσή της Μέτρα προκειμένου να αποτραπεί η ολοκλήρωση της επίθεσης 36/48

37 Χειρισμός των Εισβολών Ο χειρισμός των εισβολών περιλαμβάνει έξι φάσεις Προετοιμασία για μια επίθεση: Εγκαθίστανται οι διαδικασίες και οι μηχανισμοί για ανίχνευση και απόκριση στις επιθέσεις Ταυτοποίηση μιας επίθεσης: Το βήμα αυτό διαμορφώνει τις υπόλοιπες φάσεις Περιορισμός επίθεσης: Περιορισμός σε όσο το δυνατόν μεγαλύτερο βαθμό από τη ζημιά στο σύστημα Εξουδετέρωση της επίθεσης: Τερματισμός της επίθεσης και αποτροπή περαιτέρω παρόμοιων επιθέσεων Αποκατάσταση από την επίθεση: Αποκατάσταση της ασφαλούς λειτουργίας του συστήματος Συνεχής παρακολούθηση της επίθεσης: Λήψη μέτρων κατά του επιτιθέμενου, προσδιορισμός των προβλημάτων κατά το χειρισμό του γεγονότος 37/48

38 Σύνοψη Για την ανίχνευση εισβολών σε ένα σύστημα έχουν προταθεί τρία βασικά μοντέλα: Η ανίχνευση διαταραχών αναζητά κάποια ασυνήθη συμπεριφορά Η ανίχνευση κακής συμπεριφοράς αναζητά ακολουθίες γεγονότων που είναι γνωστό ότι παρουσιάζουν οι επιθέσεις Η ανίχνευση που βασίζεται στις προδιαγραφές αναζητά ενέργειες εκτός των προδιαγραφών των βασικών προγραμμάτων Όταν εμφανίζεται μια εισβολή, είναι απαραίτητη κάποια απόκριση: Εάν η προσπάθεια εισβολής ανιχνευτεί προτού η επίθεση αποδώσει, το σύστημα μπορεί να λάβει μέτρα έραγια να αποτρέψει την επιτυχία της επίθεσης Σε αντίθετη περίπτωση, πρέπει να αντιμετωπιστεί η εισβολή 38/48

39 Συστήματα Αί Ανίχνευσης Εισβολών Ερωτήσεις... 39/48