地狱书生的博客

3．IDS与防病毒系统的协同
　　IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。
　　
　　4．IDS与蜜罐和填充单元系统协同
　　有一些工具可以作为IDS的补充，由于它们的功能相似，销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的，所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍，同时介绍这些工具如何与IDS协同，共同增强一个组织的入侵检测能力。
　　
　　蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当检测到对"蜜罐"的访问时，很可能就有攻击者闯入。“蜜罐”上的监控器和事件日志器检测这些未经授权的访问并收集攻击者活动的相关信息。“蜜罐”的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。
　　
　　利用“蜜罐”的这种能力，一方面可以为IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻击者引入“蜜罐”，防止攻击者造成危害，并收集攻击者的信息。
　　
　　“填充单元”采取另一种不同的方法。“填充单元”不试图用引诱性的数据吸引攻击者，它等待传统的IDS来检测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与“蜜罐”相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。“填充单元”为监测攻击者的行为提供了独特的机会。