|
阅读:1735回复:5
如何实现联动
只知道国外有OPSEC,国内有TOPSEC,都提出了联动机制,但是如何实现还是很迷茫,不知哪位能提供一些好的建议,如果有相关详细的资料,能否绍介绍介阿,先谢过了。
|
|
|
沙发#
发布于:2003-07-19 16:30
纵观国内外的ids产品,其联动方案做的都很简单,都是需要用户自己定制规则(某某攻击类型是否需要阻断,设置阻断时间等等)。
我去年年底实现了一个动态统计分析的联动方案(将snort规则按照严重程度划分为几个等级,然后动态统计定长时间间隔内各种等级的攻击次数,次数达到上限,即触发联动。其中攻击等级划分、定长时间间隔、攻击次数上限及阻断时间等都能够让用户自己设置。如果用户不会使用,我这里还会提供几组经验值功用户选择)。 http://www.jump.net.cn/ |
|
|
|
板凳#
发布于:2003-07-19 16:36
因为ids产品的误报率是比较高的,所以统计每个ip攻击次数之后在进行联动是比较好的方案,否则防火墙会封掉一大批无辜的ip。
|
|
|
|
地板#
发布于:2003-07-24 17:30
谢谢提供宝贵意见,有没有相关资料交流一下,再次谢谢了 :)
|
|
|
地下室#
发布于:2003-07-26 13:22
联动方面的资料网上很多,但是很少讲如何实现的。你可以下载一些知名厂商的demo版ids,看看他们界面是如何配置,就大概知道是他们是如何实现的。
我去年实现联动时,公司让我一个月将设计、编码、单元测试做完,当时不让上网,我根本没有什么资料可看,完全凭自己空想,思路肯定有一定局限性。等项目验收后,我有时间看了国内外一些知名厂商的产品,还没发现基于动态统计分析的联动实现。我才发现自己做的联动算法过于复杂,所以我至今还觉得自己实现的联动方案有一定创新。 实际上要实现联动,不必想的过于复杂,无非就是检测到攻击行为,通知防火墙封掉它。主要看你如何定义攻击行为,如何定义联动策略。 |
|
|
|
5楼#
发布于:2003-09-15 11:43
有关如何实现的真的很少啊,楼上的老大可不可以讲一讲?谢谢了先,也可msn联系.qianvei@hotmail.com
|
|