除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。
入侵检测
编辑
发现违反安全策略的网络传输是IDS的核心功能。根据思科公司对入侵检测技术的研究[3],可以将入侵检测分为几类:简单模式匹配、状态模式匹配、基于协议解码的签名、启发式签名和异常检测(“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动)。很多研究将异常检测的方法与机器学习等知识相结合派生出了新一代的自动入侵检测系统。他们各有优缺点,须根据实际情况使用。
攻击响应
编辑
打断会话
编辑
主条目:TCP重置攻击
如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,伪造一份报文给会话的两端,造成会话连接中断。这样可以有效的关闭通信会话,阻止攻击。不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信。
这种措施虽然强大,但是也有缺点。这种措施能够阻止的是较长时间的攻击,而像早期的“泪滴攻击”使系统接收到一个特制分组报头时就会崩溃的情况,这种方法无能为力。
过滤管理规则
编辑
一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。根据安全策略的不同,这种措施可能包括阻止攻击主机与目标主机的其他传输、阻止攻击主机的所有传输;在某些特殊的情况下,也可以阻止目标主机的与特定网域内主机的通信。
这种措施的优点是同样阻止攻击,它比打断会话节省许多网络传输。不过此种措施无法对抗来自内网的攻击,以及有可能造成拒绝服务。