分布式入侵檢測系統(tǒng)主動響應(yīng)機(jī)制的研究與實(shí)現(xiàn).pdf

1、當(dāng)前對IDS的研究大多集中在檢測機(jī)制上,缺乏有效的響應(yīng)機(jī)制來阻止已經(jīng)發(fā)現(xiàn)的攻擊行為,防范未來可能進(jìn)一步發(fā)生的類似攻擊事件.結(jié)合研究小組己有的研究結(jié)果,分析了一個基于被動檢測技術(shù)的分布式入侵檢測系統(tǒng)(DIDS),它采用了分布式、多代理、分層檢測的體系結(jié)構(gòu).在此基礎(chǔ)上,討論了DIDS在響應(yīng)機(jī)制方面存在的不足,提出了在DIDS中引入主動式安全網(wǎng)關(guān)(ASecGW)的思想,以替代DIDS中原有的安全網(wǎng)關(guān)(SecGW).ASecGW由策略響應(yīng)模塊、

2、包過濾器、通信模塊和日志數(shù)據(jù)庫四大功能模塊構(gòu)成.各個模塊的功能相互獨(dú)立,協(xié)同工作.同時ASecGW作為DIDS的子系統(tǒng),通過與全局中心控制臺(GCC)進(jìn)行標(biāo)準(zhǔn)數(shù)據(jù)格式的信息交換,實(shí)現(xiàn)對DIDS所保護(hù)子網(wǎng)的統(tǒng)一響應(yīng)策略.ASecGW的主要任務(wù)是對已經(jīng)發(fā)現(xiàn)的外部入侵進(jìn)行阻斷.通過預(yù)先制定的阻斷策略,在策略響應(yīng)模塊和包過濾器的協(xié)同工作下,實(shí)現(xiàn)入侵阻斷.策略響應(yīng)模塊能夠通過阻斷控制命令改變包過濾器的包過濾規(guī)則,更改了包過濾規(guī)則的包過濾器可屏蔽外