怎么防止 ids 入侵檢測

• 網絡安全必須具有相對完善的預警、檢測和必要的防御措施

在應對攻擊事件的時候，防火墻有一定局限性，通過入侵檢測能檢測到基于應用的攻擊行為的發生，并且判斷出是何種攻擊手段，這就是一個從不知到可知的過程。在進行應急響應的時候，入侵檢測系統是必須事先部署的必備環節，否則分析攻擊難度將增大。

• 入侵檢測系統的行為關聯檢測機制以及自定義檢測功能

從攻擊特征分析的角度看，對Web服務的分布式拒絕服務攻擊，其單個服務請求和正常的服務請求機制是相同的。如果是簡單的對這樣的特征事件進行阻斷，必然導致正常的服務請求也被中斷。區分是拒絕服務還是正常訪問主要在于判斷行為的關聯性。拒絕服務的特點就是在短時間內出現大量的連接行為。因此，檢測的機制就是基于異常行為的統計關聯，然后通過采用簡潔易用的自定義描述語言，形成對該種行為的事件定義，下發到探測引擎。經過專門定義后，可以很容易地看出哪些事件是正常訪問造成，而哪些事件是由攻擊造成。

• 入侵檢測系統和防火墻形成動態防御

從應急響應的要求看，入侵檢測的目的最終是阻止攻擊行為，對已經造成攻擊后果做相應恢復，并形成整體的安全策略調整。入侵檢測系統本身是具有阻斷功能的，但是如果單純利用本身的阻斷功能必然對入侵檢測的效率有所影響。IDS 發現了攻擊事件，發送動態策略給防火墻，防火墻接收到策略后就產生一條對應的訪問控制規則，可以對指定的攻擊事件進行有效的阻斷，保證攻擊不再延續。這種聯動的好處是既利用了防火墻的優勢特點，又由于這些規則是根據攻擊的發生而動態觸發的，所以不會降低防火墻的工作效率。一個好的入侵檢測系統對保障用戶的網絡安全起到了積極而重要的作用。通過入侵檢測，不僅能夠知道攻擊事件的發生、攻擊的方式和手法，還可以指揮其他安全產品形成動態的防御系統，這就對網絡的安全性建立一個有效屏障。

回答所涉及的環境：聯想天逸510S、Windows 10。