入侵检测系统（IDS）与协同

前面我已经谈到过入侵检测有如下功能：还没看关于入侵检测的来来来，传送门在此——>入侵检测系统详解
① 监控分析用户和系统活动
② 返现入侵企图或异常现象
③ 记录报警和响应
目前的入侵检测系统是网络安全整体解决方案的一个重要部分，需要与其他安全设备
之间协同工作，共同解决网络安全问题，这就对引入协同提出了要求。

数据采集协同

入侵检测需要采集动态数据(网络数据包)和静态数据(日志文件等)。基于网络的入侵检
测系统，仅在网络层通过原始的IP包进行检测，已不能满足日益增长的安全需求;基于主机的入侵检测系统，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。
在采集网络数据包时，入侵检测系统一直是通过嗅探等被动方式来获取数据，一旦某个数据包丢失就无法挽回。 而且，未来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对动态网络数据包的采集就更加困难。因此，在数据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件。
数据采集协同包含以下几个方面的内容。
1 入侵检测系统与漏洞扫描系统的协同。
漏洞扫描系统的特点是利用完整的漏洞库，对网络中的各个主机进行扫描，对主机所存在的网络、操作系统和运行等方面存在的漏洞给出综合报告，然后提出漏洞的修补办法和风险评估报告。
2 入侵检测系统与扫描系统的协同。
一方面， 可以利用扫描系统的扫描结果，对目前网络或系统所存在的漏洞做到心中有数，并对预警策略进行修改，从而尽可能地减少误报，对隐含在正常行为中的攻击行为做出报警；另一方面，入侵检测系统能够对目前正在遭受攻击的漏洞进行及时的防范。
3 入侵检测系统与防病毒系统的协同。
面对来自网络的病毒攻击，入侵检测系统可能根据某些特征做出警告，但由于入侵检测系统本身并不是防病毒系统，对网络中的主机是否真的正在遭受计算机病毒的袭击不能准确地预报，这时防病毒系统就有了用武之地，可以有针对性地对入侵检测系统的病毒报警信息进行验证，对遭受病毒攻击的主机系统进行适当的处理。

数据分析协同

入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，还要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。
从理论上讲，任何网络入侵行为都能够被发现，因为网络流量和主机日志记录了入侵的活动数据分析协同需要在两个层面上进行，一是对一个检测引擎采集的数据进行协同分析，综合使用检测技术，以发现较为常见的、典型的攻击行为;二是对来自多个检测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻击行为。考核入侵检测系统数据分析能力可以从准确性、效率和可用性 3个方面进行。基于这点，可以认为监测引擎是完成第一种数据分析协同的最佳地点，中心管理控制平台则是完成第二种数据分析协同的最佳地点。
当检测引擎面对并非单一的数据时， 综合使用各种监测技术就显得十分重要。从攻击的特征来看，有的攻击方法使用异常监测来检测会很容易，而有的攻击方法使用模式匹配来检测则很简单。
例如，黑客在正式攻击网络之前，往往利用各种探测器分析网络中最脆弱的主机
及主机上最容易被攻击的漏洞，在正式攻击时，因为黑客的“攻击准备”活动早已被系统
记录，所以入侵检测系统就能及时地对此攻击活动做出判断。

响应协同

响应协同就是入侵检测系统与有充分响应能力的网络设备或网络安全设备集成在一
起，构成响应和预警互补的综合安全系统。
响应协同主要包含以下几个方面。
1.入侵检测系统与防火墙的协同
防火墙与入侵检测系统可以互补体现在静态和动态两个层面上。静态协同是指入侵检测系统可以通过了解防火墙的策略，对网络安全事件进行有效分析，从而准确地报警，减少误报;动态协同是指当入侵检测系统发现攻击行为时，可以通知防火墙阻断已经建立的连接，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。
2.入侵检测系统与路由器、交换机的协同
交换机和路由器一般串接在网络上，都有预定的策略，可以决定网络上的数据流，所以入侵检测系统与交换机、路由器的协同也有动态和静态两个方面，过程也大致相同。
3.入侵检测系统与防病毒系统的协同
对防病毒系统来讲，查毒和杀毒缺一不可，在查毒层面有数据采集协同，在杀毒层面有响应协同。入侵检测系统可以通过发送大量RST报文阻断已经建立的连接，但在防止计算机遭受病毒袭击的方面无能为力。目前由于网络病毒攻击占所有攻击的比例不断增加，入侵检测系统与防病毒系统的协同也变得越来越重要。
4.入侵检测系统与蜜罐协同
蜜罐是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，合法用户是访问不到的。因此，在检测到对“蜜罐”的访问时，很可能就有攻击者闯入。（后面有空更新个蜜罐）

相关文章：IDS详解