| IntruShield 体系结构提供了业界最准确的攻击检测功能,构造了系统攻击响应机制的坚实基础。没有足够响应能力的
IDS 产品只能为网络安全管理员提供有限的功能。现代的 IDS 产品必须能够检测出攻击,并提供偏转和拦截恶意流量的方法。
IntruShield 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建起企业或政府机构信息技术安全策略的基础。
就攻击检测来说,IntruShield 体系结构使系统可以实现以下功能:
A. 拦截攻击
IntruShield 体系结构允许 IDS 以嵌入模式工作,因此,它能够实时地在攻击源和目标之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。
B. 终止会话
IntruShield 体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程师可以对发送给源和/或目标
IP 地址的重新设置数据包进行配置。
C. 修改防火墙策略
IntruShield 体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定的访问控制协议,同时向安全管理员发出警报。
D. 实时警报
当网络流量违反了安全策略时,IntruShield 体系结构能够实时生成一个警报信息,并发送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲区溢出以及拒绝服务)往往需要做出实时响应,而对扫描和探测则可以通过日志进行记录,并通过进一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获得有关电子邮件、寻呼程序以及脚步警告的通知,该通知基于预先配置的严重性水平或特定的攻击类型,例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临的攻击向特定团体或个人发出通知。
IntruShield 体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事件的来源或目标进行筛选。例如,当
IT 部门通过一个自有 IP 地址执行漏洞扫描时,从该地址生成的事件就可以被过滤掉。
E. 对数据包进行日志记录
在攻击发生时,或攻击发生之后,基于 IntruShield 体系结构的系统能够首先捕获数据包,并对数据包进行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后,将转换为
libpcap 格式,以便进行演示和说明。类似于 Ethereal(运行于 UNIX 和 Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日志数据,以便对检测到的事件进行更为详细的分析。
IntruShield 体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上开发出响应措施、警报以及日志系统,以便为复杂的现代网络提供最佳的防护。
|
