用IPS追踪入侵者系列之行为处理法
作者: 北京 松儿, 出处:IT专家网, 责任编辑: 张帅,
2008-09-24 14:24
本文为讲解入侵防御系统IPS的特色功能行为处理法,通过行为处理法可以更加灵活的选择入侵防御系统发现入侵数据包后采取的措施与行为,这个特色也是IPS与IDS最大的区别。
前文介绍了如何通过IPS入侵防御系统在第一时间发现攻击者以及分析下连设备主机漏洞,今天我们继续为大家讲解入侵防御系统IPS的一大特色功能——行为处理法,通过行为处理法我们可以更加灵活的选择入侵防御系统发现入侵数据包后采取的措施与行为,这个特色也是IPS入侵防御系统与IDS入侵检测系统最大的区别。

一、行为处理法的用途:
行为处理法就是针对不同类型的网络通讯数据包采取不同的转发和处理策略,例如正常通讯数据包可以容许通过,漏洞攻击数据包直接禁止通行或者转发到一个固定的服务器进行分析,一些非常规数据包则首先放行但是对其进行记录监控如果影响正常网络服务就马上禁用。
通过行为处理法我们可以轻松应对企业网络通讯中有用的,非法的,不确定的数据包,根据协议不同功能不同端口不同目的地址的不同采取不同的处理策略。每过一段时间我们可以通过IPS入侵防御系统的日志来分析各个类型的数据包,然后根据统计归纳制订新的行为处理规则,让企业网络更加稳固的运行。

