与皮用
基于协同策略的IDS 联动响应机制
赵娜
(北京电子科技职业学院北京100029)
安全技术
摘要：网络协同安全技术是实现网络安全的重要技术手段,协同思超在入侵检测(IDS)和DDos攻击检测方面都有广泛的应用。基于协同策略的网络安全管理平台着力于IDS、防火增、协同审计、灾难恢复等多层次、全方位的联动策略和机制。现以防火增与IDS的联动为例，实现了协同策略下的联动配置，从而提供网络安全管理系统的性能。
关键调：协网策略IDS联动响应
中图分类号：TP3
1IDS攻击对策响应原理
IDS-
文献标识码:A
文章编号：1007-9416(2014)05-0199-02
(1)撤销连接是指当IDS监视端口时，攻击者对被监视端口进行连接并同时发送多个数据包，其中含有攻击代码，IDS根据攻击模式
-IntrusionDetectionSystems，即人侵检测系统。作为
一种积极主动的安全防护技术，不仅能够检测来自网络外部的人侵，同时还能够监督网络内部用户的活动。IDS依照一定的安全策略，通过软、硬件，对网络，系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
对于IDS系统来说，响应机制是所有功能中最重要的部分。从攻击检测角度分，IDS响应可分为被动响应与主动响应，从响应方式来分，IDS响应可分为自动响应和手工配置响应。
1.1主动响应机制
主动响应机制能够阻止正在进行的攻击，直接终结攻击者的继续访间。更为主动的响应则是IDS系统在检测到攻击时会对攻击者进行反击，这种响应机制会使得IDS系统存在一定风险，如可能会影响网络上的无率用户，因此应该谨慎采用。
常用的主动响应机制包括撒销链接、断路响应等。 DcNS Console
工具(D帮购0
P文伴D视旺KO
安全事件导入第略《D 告费美略
报表
查海
9导出第响(E)
细件
解能编精技定心
系统日惠
园保存策院(S)
ids1（用户自定义策略，可编辑）
artack,Betecter
D pefale D am,ingin
mngin,Inside,irwd! Por_isdort_Betverks aisn_Coerspe rotacel_adlyrer D rah fateher
epac 口am
attad
agnostx_erro o
团四hee
团
authenti badfies
图
bugbea Ciscodos
cvspserver doos 图
p finger fngerprint 团
变我节点@
A
洋应至体配）事件归算整停配置（A）
ale 事
Tat
添加特集事件营口(M)
图1DCNIDS策略编辑界面
匹配库检测到攻击代码后，命令被保护主机撤销这个TCP连接。这种响应技术对一些已知的网络攻击是十分有效的，但是如果攻击者使用的人侵代码中包含缓冲区溢出攻击，这种响应就可能是徒劳的。
(2)断路响应。该机制一般发生在IDS所保护的计算机系统没有管理分析人员时。其原理是，在某一段时间内发生了足够多的攻击， IDS就向一个逻辑控制继电器发出命令，将路由器的电源断路，使得受控网络节点从Internet中断开。用户应该谨慎采用这种响应方法，因为这样有可能引发拒绝服务。实施这种响应时，用户应该将警报级别定为高级，同时用户的IDS系统必须具有基于规则进行判断的功能。
1.2被动响应机制
被动响应其实泛指自动通知，当IDS检测到人侵时，自动给管理员发出警报通知。这种响应机制比较简单，一般只起到提高IDS系统工作效率和缩短管理人员反应时间的作用，对于阻止人侵行为则是无能为力。在被动响应机制中，“隔高不信任连接技术"十分重要，当攻击者通过后门程序进人到用户系统后，撤销连接这种响应将无能为力，因为人侵者随时可以建立多条连接，这时隔离不信任连接就变得非常重要。隔离不信任连接可以对抗IP欺骗攻击、ARP欺骗攻击以及基于TCP连接欺骗等多种攻击行为，但是这种隔离需要人工进行干予，定期分析和配置。
1.3告警机制
告警机制负责将IDS系统响应所产生的信息尽快传递到管理员手中，告警平台能够将人侵响应所产生的信息通过电子邮件和手机手件制应整体配五
够皮典型
团星orSPuAr QtoG06@s OM
R DOFW-180 OPSEC SCANNER
达
在授制自上是示写入歌据库保存 K通spTrac 发通电子制件速书传领器发送T0Reset
发速响应至用户指至度用提序发送型至DCFW-180期大增发速响盛至Chedpon购大增扫临器聘型
违：点步“键定特配置作用到造拍节点及所有子节点。
图2事件响应联动配置
ORSC
CFT-1800 日通t 口口自的地址口目的端口过时（移） 60
项目基金：本文为北京电子科技职业学院科技课题《基于协同策略的入侵检测与防御响应机制研究X编号：YYK2013018)研究成果。作者简介：赵娜，1982年出生，北京人，工学硕士，讲师、网络规划设计师，北京电子科技职业学院电信工程学院教师，主要研究方向：路由与
交换技术、网络安全等。
199
万方数据