返回
基于协同策略的IDS联动响应机制

基于协同策略的IDS联动响应机制

ID:46420762

大小:70.00 KB

页数:7页

时间:2019-11-23

基于协同策略的IDS联动响应机制_第1页
基于协同策略的IDS联动响应机制_第2页
基于协同策略的IDS联动响应机制_第3页
基于协同策略的IDS联动响应机制_第4页
基于协同策略的IDS联动响应机制_第5页
资源描述:

《基于协同策略的IDS联动响应机制》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于协同策略的IDS联动响应机制摘要:网络协同安全技术是实现网络安全的重要技术手段,协同思想在入侵检测(IDS)和DDos攻击检测方面都有广泛的应用。基于协同策略的网络安全管理平台着力于IDS、防火墙、协同审计、灾难恢复等多层次、全方位的联动策略和机制。现以防火墙与IDS的联动为例,实现了协同策略下的联动配置,从而提供网络安全管理系统的性能。关键词:协同策略IDS联动响应中图分类号:TP3文献标识码:A文章编号:1007-9416(2014)05-0199-021IDS攻击对策响应原理IDSIntrusionDetectionSystems,即入侵检测系统。作为一种积极主动的安全防护技术,

2、不仅能够检测来自网络外部的入侵,同时还能够监督网络内部用户的活动。IDS依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。对于IDS系统来说,响应机制是所冇功能屮最重要的部分。从攻击检测角度分,IDS响应可分为被动响应与主动响应;从响应方式来分,IDS响应可分为自动响应和手T配置响应。1.1主动响应机制主动响应机制能够阻止正在进行的攻击,直接终结攻击者的继续访问。更为主动的响应则是TDS系统在检测到攻击时会对攻击者进行反击,这种响应机制会使得IDS系统存在一定风险,如可能会影响网络上的

3、无辜用户,因此应该谨慎采用。常用的主动响应机制包括撤销链接、断路响应等。(1)撤销连接是指当IDS监视端口时,攻击者对被监视端口进行连接并同时发送多个数据包,其中含有攻击代码,IDS根据攻击模式匹配库检测到攻击代码后,命令被保护主机撤销这个TCP连接。这种响应技术对一些已知的网络攻击是十分冇效的,但是如果攻击者使用的入侵代码屮包含缓冲区溢出攻击,这种响应就可能是徒劳的。(2)断路响应。该机制一般发生在IDS所保护的计算机系统没有管理分析人员时。其原理是,在某一段时间内发生了足够多的攻击,IDS就向一个逻辑控制继电器发出命令,将路由器的电源断路,使得受控网络节点从Internet屮断开。用户

4、应该谨慎采用这种响应方法,因为这样有可能引发拒绝服务。实施这种响应时,用户应该将警报级别定为高级,同时用户的IDS系统必须具有基于规则进行判断的功能。1.2被动响应机制被动响应其实泛指自动通知,当IDS检测到入侵时,自动给管理员发出警报通知。这种响应机制比较简单,一般只起到提高IDS系统工作效率和缩短管理人员反应时间的作用,对于阻止入侵行为则是无能为力。在被动响应机制中,“隔离不信任连接技术”十分重要。当攻击者通过后门程序进入到用户系统后,撤销连接这种响应将无能为力,因为入侵者随时可以建立多条连接,这时隔离不信任连接就变得非常重要。隔离不信任连接可以对抗TP欺骗攻击、ARP欺骗攻击以及基于

5、TCP连接欺骗等多种攻击行为,但是这种隔离需要人工进行干予,定期分析和配置。1.3告警机制告警机制负责将TDS系统响应所产生的信息尽快传递到管理员手中,告警平台能够将入侵响应所产生的信息通过电子邮件和手机短消息自动发送给管理人员。告警平台机制利用的是简单的代理技术,使得系统环境下不需人工干预就能完成工作。考虑到IDS的可移植性、稳定性和易用性,人们应该将告警平台与控制平台安装在一起协同工作。告警平台与IDS之间可以通过建立网络协议实现通信。在运行前,告警平台与IDS通过网络协议,确定一个特定端口,告警平台监视这个端口。IDS的分析管理器每分析出可疑的入侵行为,就会向这个端口发送有关入侵响应

6、的字符串信息。告警平台收到这些信息后,通过邮件和手机短消息发送给管理员。告警平台与IDS之间的通信也可通过用户控制平台进行。TDS将可能的入侵事件发送到控制平台,控制平台将其转存为一个文件,告警平台根据时间定时器进行轮询,当发现文件后,告警平台将内容以邮件和手机短信的形式发送。H前,不少的IDS的响应系统仅具有报警功能却缺少主动对抗响应机制,加上IDS技术的局限和攻击手段的不断提高,入侵检测的响应系统还存在误报现象,由此产生错误响应。因此,IDS更需要通过协同策略和联动机制提高自身的防护性能。2协同策略与IDS联动机制2.1网络协同安全网络协同安全技术是实现网络安全的重耍技术手段,协同思想

7、在入侵检测(IDS)和DDos攻击检测方面都有广泛的应用。例如:为解决不同IDS之间的互操作和共存问题,美国国防部高级研究计划局(DARPA)和IETF合作制定了CTDF标准(CommonTntrusionDetectionFramework,公共入侵检测框架),其目的是为部署在多个管理域的IDS提供一个互操作和信息共享的协同平台。基于协同策略的网络协同安全系统(NetworkCooperativeSecuritySys

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。