在本节中将使用该防范体系对被保护网络受到内部用户使用典型攻击技术的攻击时做出的响应和防护效果进行分析。本部分仅选取这9种典型的攻击技术中的两种（本地口令攻击和本地缓冲区溢出攻击）进行针对性分析，关于黑客入侵防范体系对其他几种攻击技术从内部进行攻击的防护效果可参考本书9.2节“外部攻击行为防护性能分析”部分的内容，只是防火墙所起的作用不再相同。黑客入侵防范体系对这两种内部攻击所做出的防护效果模拟分析结果描述如下。

9.3.1  内部口令攻击的防护

若内部用户或黑客使用letmein等口令攻击工具从被保护网络内部对节点A进行口令攻击，则防范体系对内部口令攻击的防护过程如下（如图9-16所示）：

黑客使用口令攻击软件从内部对被保护网络中的节点A进行口令攻击。

该攻击行为首先被节点A上的主机型IDS检测到，当该主机型IDS检测到攻击信息后，立即向体系管理平台报告。

体系管理平台在收到节点A的主机型IDS的报警信息后，体系管理平台会通知陷阱机，由陷阱机进行节点A的模仿，将攻击信息引入陷阱机，对攻击者的进一步动作进行观察调查和跟踪分析，同时，通知取证机进行取证记录，通知评估扫描系统对主机A的抗口令攻击性能进行测试。

陷阱机将攻击引入陷阱机（这一步实现起来有一定的困难，若不能实现，尽快由主机A上的主机型IDS阻断该攻击）。

陷阱机模仿节点A给黑客返回相关信息，诱骗攻击者进一步表现自己，进行分析，同时取证机进行取证。

陷阱机、扫描评估系统和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给节点A的主机型IDS。

图9-16  防范体系对内部口令攻击的防护效果示意图

体系管理平台会及时将跟踪信息通知安全管理员，由安全管理员根据情况进行内部处理。