@Ineverleft
2年前 提问
1个回答

怎么防止ids入侵检测

房乐
2年前
  • 网络安全必须具有相对完善的预警、检测和必要的防御措施

在应对攻击事件的时候,防火墙有一定局限性,通过入侵检测能检测到基于应用的攻击行为的发生,并且判断出是何种攻击手段,这就是一个从不知到可知的过程。在进行应急响应的时候,入侵检测系统是必须事先部署的必备环节,否则分析攻击难度将增大。

  • 入侵检测系统的行为关联检测机制以及自定义检测功能

从攻击特征分析的角度看,对Web服务的分布式拒绝服务攻击,其单个服务请求和正常的服务请求机制是相同的。如果是简单的对这样的特征事件进行阻断,必然导致正常的服务请求也被中断。区分是拒绝服务还是正常访问主要在于判断行为的关联性。拒绝服务的特点就是在短时间内出现大量的连接行为。因此,检测的机制就是基于异常行为的统计关联,然后通过采用简洁易用的自定义描述语言,形成对该种行为的事件定义,下发到探测引擎。经过专门定义后,可以很容易地看出哪些事件是正常访问造成,而哪些事件是由攻击造成。

  • 入侵检测系统和防火墙形成动态防御

从应急响应的要求看,入侵检测的目的最终是阻止攻击行为,对已经造成攻击后果做相应恢复,并形成整体的安全策略调整。入侵检测系统本身是具有阻断功能的,但是如果单纯利用本身的阻断功能必然对入侵检测的效率有所影响。IDS 发现了攻击事件,发送动态策略给防火墙,防火墙接收到策略后就产生一条对应的访问控制规则,可以对指定的攻击事件进行有效的阻断,保证攻击不再延续。这种联动的好处是既利用了防火墙的优势特点,又由于这些规则是根据攻击的发生而动态触发的,所以不会降低防火墙的工作效率。一个好的入侵检测系统对保障用户的网络安全起到了积极而重要的作用。通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立一个有效屏障。