文档介绍:基于协同策略的IDS联动响应机制摘要:网络协同安全技术是实现网络安全的重要技术手段,协同思想在入侵检测(IDS)和DDos攻击检测方面都有广泛的应用。基于协同策略的网络安全管理平台着力于IDS、防火墙、协同审计、灾难恢复等多层次、全方位的联动策略和机制。现以防火墙与IDS的联动为例,实现了协同策略下的联动配置,从而提供网络安全管理系统的性能。关键词:协同策略IDS联动响应中图分类号:TP3文献标识码:A文章编号:1007-9416(2014)05-0199-021IDS攻击对策响应原理IDS――IntrusionDetectionSystems,即入侵检测系统。作为一种积极主动的安全防护技术,不仅能够检测来自网络外部的入侵,同时还能够监督网络内部用户的活动。IDS依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。对于IDS系统来说,响应机制是所有功能中最重要的部分。从攻击检测角度分,IDS响应可分为被动响应与主动响应;从响应方式来分,IDS响应可分为自动响应和手工配置响应。,直接终结攻击者的继续访问。更为主动的响应则是IDS系统在检测到攻击时会对攻击者进行反击,这种响应机制会使得IDS系统存在一定风险,如可能会影响网络上的无辜用户,因此应该谨慎采用。常用的主动响应机制包括撤销链接、断路响应等。(1)撤销连接是指当IDS监视端口时,攻击者对被监视端口进行连接并同时发送多个数据包,其中含有攻击代码,IDS根据攻击模式匹配库检测到攻击代码后,命令被保护主机撤销这个TCP连接。这种响应技术对一些已知的网络攻击是十分有效的,但是如果攻击者使用的入侵代码中包含缓冲区溢出攻击,这种响应就可能是徒劳的。(2)断路响应。该机制一般发生在IDS所保护的计算机系统没有管理分析人员时。其原理是,在某一段时间内发生了足够多的攻击,IDS就向一个逻辑控制继电器发出命令,将路由器的电源断路,中断开。用户应该谨慎采用这种响应方法,因为这样有可能引发拒绝服务。实施这种响应时,用户应该将警报级别定为高级,同时用户的IDS系统必须具有基于规则进行判断的功能。,当IDS检测到入侵时,自动给管理员发出警报通知。这种响应机制比较简单,一般只起到提高IDS系统工作效率和缩短管理人员反应时间的作用,对于阻止入侵行为则是无能为力。在被动响应机制中,“隔离不信任连接技术”十分重要。当攻击者通过后门程序进入到用户系统后,撤销连接这种响应将无能为力,因为入侵者随时可以建立多条连接,这时隔离不信任连接就变得非常重要。隔离不信任连接可以对抗IP欺骗攻击、ARP欺骗攻击以及基于TCP连接欺骗等多种攻击行为,但是这种隔离需要人工进行干予,定期分析和配置。,告警平台能够将入侵响应所产生的信息通过电子邮件和手机短消息自动发送给管理人员。告警平台机制利用的是简单的代理技术,使得系统环境下不需人工干预就能完成工作。考虑到IDS的可移植性、稳定性和易用性,人们应该将告警平台与控制平台安装在一起协同工作。告警平台与IDS之间可以通过建立网络协议实现通信。在