化工产品质量与安全管理



            地增加或者删除知识库中的规则，重新定义新规则。另外，对于初始用户，刚装
            好的 IDS 会产生很多告警，有些属正常的网络应用，用户可置之不理，有些属未
            加上但业务中必用到的初始配置，用户一定要注意及时调整这些配置。第四，对

            IDS期望值过高。有些用户对IDS存在错误的认识，他们把IDS当成防攻击的法宝，
            势必事与愿违。在网络安全中，存在着多种不同级别的安全技术与产品，IDS 只

            是其中的一步棋，它只承担了智能检测入侵任务的角色，并能针对入侵行为做出
            响应，仅此而已。如果用户想通过 IDS 完全阻止黑客入侵，一不实际，二这也不
            是 IDS 的功能。需要指出的是，IDS 再智能也只是一个安全管理工具。要使网络
            安全，真正起作用的还是人，因为工具不能解决一切问题。

                6.IDS 具备的安全应急机制
                （1）网络安全必须具有相对完善的预警、检测和必要的防御措施

                在应对攻击事件的时候，防火墙有一定局限性，通过入侵检测能检测到基于
            应用的攻击行为的发生，并且判断出是何种攻击手段，这就是一个从不可知到可
            知的过程。在进行应急响应的时候，入侵检测系统是必须事先部署的必备环节，
            否则分析攻击难度将增大。

                （2）入侵检测系统的行为关联检测机制以及自定义检测功能
                从攻击特征分析的角度看，对 Web 服务的分布式拒绝服务攻击，其单个服
            务请求和正常的服务请求机制是相同的。如果是简单地对这样的特征事件进行阻

            断，必然导致正常的服务请求也被中断。区分是拒绝服务还是正常访问主要在于
            判断行为的关联性。拒绝服务的特点就是在短时间内出现大量的连接行为。因此，
            检测的机制就是基于异常行为的统计关联，然后通过采用简洁易用的自定义描述

            语言，形成对该种行为的事件定义，下发到探测引擎。经过专门定义后，可以很
            容易地看出哪些事件是正常访问造成，而哪些事件是由攻击造成。
                （3）入侵检测系统和防火墙形成动态防御

                从应急响应的要求看，入侵检测的最终目的是阻止攻击行为，对已经造成
            攻击后果做相应恢复，并形成整体的安全策略调整。入侵检测系统本身是具有阻
            断功能的，但是如果单纯利用本身的阻断功能必然对入侵检测的效率有所影响。

            IDS 发现了攻击事件，发送动态策略给防火墙，防火墙接收到策略后就产生一条





            ·92·