IDS的自防护原则与技术途径(2)

发表于:2007-06-23来源:作者:点击数: 标签:
IDS的自防护原则与技术途径 IDS的自防护原则与技术途径 建立IDS的自防护体系必须从体系、算法和软件三个层面综合考虑,在建立IDS自防护体系的过程中,应遵循以下原则:多渠道防护原则,应保证防护手段的多样性,采用多种技术实现对脆弱点的冗余保护;协调使

   
  IDS的自防护原则与技术途径
  IDS的自防护原则与技术途径

  建立IDS的自防护体系必须从体系、算法和软件三个层面综合考虑,在建立IDS自防护体系的过程中,应遵循以下原则:多渠道防护原则,应保证防护手段的多样性,采用多种技术实现对脆弱点的冗余保护;协调使用原则,应对IDS采用的防护策略和技术进行统一配置,协调管理;信息保密原则,随着IDS的发展,IDS内部通信量不断增加,应坚持不明文传输的原则,才能有效地保证不被攻击者窃听到IDS内部行为;综合防护原则,应从多方面对IDS进行有效的防护,技术与管理并重,以确保IDS自防护系统的生存能力。

  对IDS信息源的防护是实施IDS自防护的重要内容之一。IDS传感器获取信息的位置分为本地、远程和混合三种。从获取信息的冗余程度来划分,信息源分为冗余信息源、补充信息源和所需全部信息源。一般而言,IDS信息源主要有三种分布方式:冗余和紧密、效能、分布式和非独立。

  表1列出了三种信息源分布结构的技术特征及可能遭受的攻击方式。针对不同的攻击方式,结合各信息源结构的技术特征,可采取不同的技术手段构筑信息源的自防护体系。

IDS的自防护原则与技术途径(2)

表1 IDS信息源结构技术特征及攻击方式

  总而言之,IDS是一类在网络空间具有指挥控制特点的信息防御系统,围绕IDS的信息攻击与防御是网络攻防的焦点之一。可以说,任何一项IDS技术,若不能抵御针对IDS的信息攻击,那么将导致全面失效。IDS自防护体系的建立除了考虑作为一般信息系统的自防护外,还必须考虑在网络攻防对抗环境下的自防护问题。(完)

原文转自:http://www.ltesting.net