一、深度剖析内网安全中入侵响应系统响应因素的分析与选择

随着网络的不断发展，外界对内网的影响也逐渐增强，所以企业应该做出响应决策，才能做好内网安全。响应决策有各方面的因素决定，哪些因素又起到至关重要的作用呢？

一般来说，客观因素和由客观因素推算出的复合因素能够从客观角度上反映出系统的安全状态和攻击威胁情况，而主观因素和由主观因素推算出的复合因素更能够从主观上反映出被保护系统的资源价值和管理员的安全意向。因此，在响应决策的高层（响应目的和响应策略的确定）应多考虑主观因素，而在响应决策的底层（响应时机决策和响应措施决策）应多选择客观因素。

在目前绝大多数的自动入侵响应系统中，入侵响应决策的核心问题只有一个，就是确定合适的响应措施。在这些模型中，上述响应因素都被用于决策响应措施。我们认为将响应决策划分为两个核心问题更合适，一是确定合适的响应时机，二是确定合适的响应措施。也就是在合适的时刻实施合适的响应，最终才能实现响应目的。

不同的响应因素适合于不同的决策问题，有的适合于响应时机的决策，有的适合于响应措施决策。就报警的确信度而言，将确信度用于响应时机决策是比较合适的，而将响应确信度用户响应措施决策是不合适的。这是由于一方面，确信度代表了IDS所检测到的异常事件是攻击的概率，而响应时机决策实质就是确定合适的响应时刻，或者说确定是否应该开始响应。

如此，用确信度这样一个确定是不是攻击的因素决策是否应该进行响应就比较合适。也就是说，如果异常事件的攻击可能性大，系统就应该采取响应，如果是攻击的可能性很小，就不要采取响应粗搜；而响应措施决策的关键是要确定用什么样的响应措施来有效地对付什么样的攻击，而报警确信度这样的参数对于确定响应措施的有效性是没有多少帮助的。

另一方面，大部分与响应相关的因素（如响应措施力度、响应措施有效性等）是一些偏重于反应响应措施本身特性的因素，将这些因素用于响应措施决策是合适的，而用于响应时机的决策则是不合适的。

二、浅析内网安全管理中的安全诱捕系统

随着信息化的飞速发展，信息安全问题越来越受到人们的关注，尤其是内网信息安全，企业必须要做好内网安全管理，这样才能保障信息安全。对于内网泄密事件，要从日常的工作中做好员工的计算机操作行为监控和审计，监控是整个平台的好内网安全保障系统，在互联网诱捕系统中同样要求部署相应的好内网安全设备，用来监测入侵行为日志等。

在互联网安全诱捕系统中网络入侵检测系统主要用于监测分析黑客对系统攻击的过程和手段。网络入侵检测系统向陷阱网络管理系统实时提交所监测到的信息。对网络入侵检测系统的技术要求通常包括旁路部署，旁路监听工作方式；支持多级管理；支持对主要通信协议的解析；支持通过插件方式对协议解析进行补充；支持对异常流量监测；支持强大方便的特征事件和行为事件定义功能；支持对特征事件的报文提取；支持对主流攻击行为，如扫描、后门、恶意代码、拒绝服务、缓冲区溢出、穷举探测、网络蠕虫、数据库攻击等；产品符合相关业界或厂商的漏洞标准，如CVE；具有防躲避和干扰能力；支持虚拟引擎，可以同时使用多个策略；报表系统支持强大的关联分析和交叉分析；最重要的是，支持与陷阱管理和分析系统的数据接口。

在互联网安全诱捕系统中网络审计系统主要用于监测分析网络通信协议，同时具有记录非加密协议通信过程的功能。网络审计系统向陷阱网络管理系统实时提交所监测到的信息。

对网络审计系统通常技术要求包括：支持对数据库、FTP、TELNET、NETBIOS等操作的实时监控和分析；支持对多次跳转的TELNET会话记录；支持对各种数据库操作的会话记录；支持命令级的审计功能；支持实时跟踪和回放；支持多种响应方式；最重要的是，支持与陷阱管理和分析系统的数据接口。

在互联网安全诱捕中防火墙作为系统边界防火墙控制设备是系统安全的重要保障，同时防火墙也是系统数据的重要来源，防火墙一般的基本技术要求包括10/1000以太网端口：不少于8个；支持NAT，PAT和透明（桥模式）；支持路由模式（支持RIP v1，V2和OSPF等）；支持扫描HTTP，FTP，SMTP，IMAP以及加密VPN数据流的病毒；支持远程Syslog/WebTrends 服务器；图形化实时监视和历史记录；支持SNMP；支持WebUI管理；支持虚拟系统，可以把一台引擎拟成若干台引擎，分别对不同的引擎配置不同的规则、策略和管理员。

在分析的过程中，主要使用自然语言和示意图对安全协议所交换的消息进行剖析。这往往是非常有效的，关键在于选择攻击方法。形式化分析方法是采用各种形式化语言，为安全协议建立模型，并按照规定的假设、分析和验证方法证明协议的安全性。

目前，形式化分析方法是研究的热点，但是就其实用性来说，还没有突破性的进展。希望以上对安全协议的分析能够帮助到企业，企业可以根据实际需求选择合适的、安全的协议。