会员登录
会员注册1.IDS与防火墙的协同:
防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态的方面是当IDS发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。
2.IDS与路由器、交换机的协同
由于交换机和路由器防火墙一样,一般串接在网络上。同时都有预定的策略,可以决定网络上的数据流,所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似,都有动态和静态两个方面,过程也大致相同,这里不作详细的论述。
3.IDS与防病毒系统的协同
IDS与防病毒系统的协同在数据采集协同中已经进行过论述,但实际上对防病毒系统来讲,查和杀是不可或缺的两个方面,在查的层面有数据采集协同,在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接,某种程度上代替防火墙的响应机制的话,在防止计算机遭受病毒袭击的方面简直是无能为力,目前由于网络病毒攻击占所有攻击的比例不断增加,IDS与防病毒系统的协同也变得越来越重要。
4.IDS与蜜罐和填充单元系统协同
有一些工具可以作为IDS的补充,由于它们的功能相似,销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的,所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍,同时介绍这些工具如何与IDS协同,共同增强一个组织的入侵检测能力。
蜜罐:是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息,但是这些信息实际上是捏造的,诚实的用户是访问不到它们的。因此,当检测到对"蜜罐"的访问时,很可能就有攻击者闯入。"蜜罐"上的监控器和事件日志器检测这些未经授权的访问并收集攻击者活动的相关信息。"蜜罐"的目的是将攻击者从关键系统引开,同时收集攻击者的活动信息,并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。
利用"蜜罐"的这种能力,一方面可以为IDS提供附加数据,另一方面,当IDS发现有攻击者时,可以把攻击者引入"蜜罐",防止攻击者造成危害,并收集攻击者的信息。
"填充单元"采取另一种不同的方法。"填充单元"不试图用引诱性的数据吸引攻击者,它等待传统的IDS来检测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情,但是攻击者会处于一个模拟环境中而不会造成任何伤害。与"蜜罐"相似,这种模拟环境会充满使人感兴趣的数据,从而会使攻击者相信攻击正按计划进行。"填充单元"为监测攻击者的行为提供了独特的机会。
3.3. 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N