主动响应可以分为两类: 用户驱动的； 由系统本身自动执行的。 主动响应要达到的目的有3 类: 对入侵者采取反击； 修正系统环境； 收集额外信息。 在具体方法上， 入侵隔离、 入侵追踪、 蜜罐技术、 可信恢复、 灾难控制、 自适应响应等技术都属于主动响应的范畴。

1. 入侵隔离

在检测到入侵发生后， 往往希望阻止入侵的进一步进行， 入侵隔离一般有两种方式: 会话阻断； 拒绝连接请求。 会话阻断， 是指入侵检测系统通过发送TCP RESET 包或ICMP 包来阻断当前的会话。 对于TCP 会话， 入侵检测系统将向通信的两端各发送TCP RESET 包， 此时通信双方的堆栈将把这个TCP RESET 包解释为另一端的回应， 然后停止整个通信过程。 对于UDP会话， 入侵检测系统向源地址主机发送ICMP 包， 表示目的主机、 端口或网络不可到达。 但是由于从检测到做出响应存在延迟， 如果入侵者在阻断之前将攻击数据包发送到目的主机， 那么实际会话阻断的操作将失效。 如果使用拒绝连接请求， 入侵检测系统将与防火墙联动， 通过修改防火墙的规则集来实现阻塞入侵地址。 但是假设入侵者故意伪造源地址(如伪造网关或者伪造某些重要部门的IP 地址)， 就有可能造成某种程度的拒绝服务。 同样的情形也会发生在向检测到入侵的地址发起攻击时， 如果对方地址是伪造的， 那么所攻击的可能是一个无辜者。

2. 入侵追踪

在诸如DoS 这样的攻击方式中， 攻击者往往采用伪造源IP 地址的方式来隐藏自己。 入侵追踪研究的重点在于发现攻击者的真实地址和传输路径， 同时追踪技术有助于提高响应的准确性。 常用的追踪技术包括链路测试、 日志记录、 ICMP 追踪和报文标记等。

1) 链路测试

链路测试包括输入检测、 受控泛洪两种形式。 输入检测利用路由器提供的端口回溯功能进行入侵追踪， 先由被入侵系统向网络管理员提供入侵特征， 再由网络管理员根据特征来找出入侵流量的出口， 如果回溯到达ISP 边界， 则需要联系邻接ISP 管理员继续进行输入检测， 直到找出入侵的真实来源。 受控泛洪的原理是向路由器各端口短时间进行泛洪， 在这期间包括入侵流量在内的所有数据包丢包的可能性都大大增加， 通过对入侵流量变化的分析来推断出入侵是由路由器哪个端口发生的。 同理， 对邻接路由器的递归操作最终将找出入侵源。

2) 日志记录

日志记录是指在传输路径中的关键路由器上对过往数据包进行日志记录， 并采用数据挖掘的方法分析数据包的实际传输路径。 这种方法可以在包括入侵已经结束的时候进行入侵追踪， 但存在资源消耗巨大、 在大范围内进行数据内容整合的问题。

3) ICMP 追踪(www.daowen.com)

ICMP 追踪的原理是路由器以很小的概率对流经的数据包进行采样， 将报头信息及相邻路由器地址信息封装在一个ICMP 报文中发送给目的主机。 一旦目的主机收到足够数量的ICMP 报文， 就可以根据报文中的信息对入侵路径进行重组。 这种方法实现较为简单， 但受到一些局限:

(1) ICMP 可能被防火墙过滤。

(2) ICMP 追踪依赖于路由器的输入检测能力， 如果路由器不具备该功能， 追踪将不能进行。

(3) ICMP 报文能够被入侵者伪造， 从而使重组路径受到干扰。

4) 报文标记

报文标记类似于ICMP 追踪， 它将路径信息直接标记进经过路由器的数据包， 目的主机根据包内的路径信息重组入侵路径。 报文标记包括节点添加(node append)、 节点采样(node sampling)、 边采样(edge sampling)。

3. 蜜罐技术

这种响应方式能够帮助用户获取更多关于入侵行为的信息， 目前多采用的技术是建立“蜜罐” 及“蜜网”。 这实际上是一种欺骗网技术， 通过故意设置专门的服务器或局域网来诱使入侵者相信信息系统中存在有价值的、 可利用的安全弱点， 具有一些重要资源， 并将入侵者引向这些错误的资源。 当入侵者认为成功进入系统并窃取资源时， 用户则可以监视入侵者的行为， 得到关于入侵者的第一手资料。 蜜罐技术包括操作系统欺骗、 目录系统欺骗、 数据及文件欺骗、 应用程序及服务欺骗等。 由于分散了入侵者的注意力， 因此在收集、 分析入侵者行为的同时， 蜜罐也充当了主动防御的角色。 Honeyd 是一个轻量级的蜜罐系统， 它通过模拟各操作系统网络层的实现来达到欺骗入侵者的目的， 且可同时模拟多台主机及相关网络服务程序， 大大节省了建立及管理蜜罐系统的成本。