入侵检测与网络审计产品是孪生兄弟吗?

入侵检测与网络审计产品是孪生兄弟吗?

ID:13056191

大小:36.50 KB

页数:4页

时间:2018-07-20

入侵检测与网络审计产品是孪生兄弟吗?_第1页
入侵检测与网络审计产品是孪生兄弟吗?_第2页
入侵检测与网络审计产品是孪生兄弟吗?_第3页
入侵检测与网络审计产品是孪生兄弟吗?_第4页
资源描述:

《入侵检测与网络审计产品是孪生兄弟吗?》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测与网络审计产品是孪生兄弟吗?【摘抄】入侵检测系统(IDS)是网络安全监控的重要工具,是网络“街道”上的巡警,时刻关注着网络的异常行为;网络审计师用户行为的记录,是网络“大楼”内的录像机,记录各种行为的过程,作为将来审核“你”的证据。我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常、及时报警、处理。公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看时后随在什么时间进行的操作时,调出当时的记录,进行取证。从表面上看,两个产品都采用了网络的“摄像”,对网络信息抓取并分析,其实两个产品技术出

2、自“同源”---系统的日志分析,好象一对孪生的兄弟;“龙生九子,各有不同”,后天环境的不同,两个产品功能属性大不相同。 一、“遗传”特性IDS需要对入侵行为及时检测并做出判断;审计需要对用户行为全程记录,两者好象“风牛马不相及”,要说相似,是因为他俩共同的“祖先”,从对主机日志的分析技术发展起来的,随着安全目标的不同,一个注重事件的“关联分析”,一个注重事件的事后重现,虽然后来两者差距越来越大,但其技术与产品还有很多相似点,下面我们总结了几点: 1)产品设计架构IDS与审计产品都是安全分析类产品,采用“并联”在网络上的方式,不影响业务的性能。在产品的设计架构上基本相同,分为控制中

3、心、数据库、控制台、数据收集引擎几个部分,采用分布式的部署方式。2)信息获取  从网络上信息收集方式  典型的方式就是网络链路的端口镜像(若是光链路也可以用分光设备),就是把正常网络的通讯信号(数据)复制一份给镜像设备。图中蓝线是IDS的信息收集,红线是审计的信息收集。多对一的镜像也可以根据产品的部署情况采用单独的数据收集引擎,根据流量采用一对一镜像,或多对一镜像。从主机上信息收集方式  在主机上收集信息一般要安装Agent软件,也可以通过Syslog、SNMP等通讯协议从主机中获取。主机IDS技术的早期也是对系统的日志进行分析,后来发展到对主机的进程、状态进行监控;主机的系统操

4、作日志、安全日志,数据库上的操作日志,也同样是审计系统的数据来源。  3)业务识别技术  收集到的信息需要进一步处理,从网络镜像来的数据包,首先要还原成通讯协议,定位到具体的通讯连接,也就是我们常说的业务识别技术。IDS与审计的业务识别技术基本是相同的。无论是分析是否为入侵,还是要记录用户的行为过程,识别出用户具体在做什么都是必然的。对于标准协议的识别与匹配相对是容易的,但是很多应用采用了加密,或隐藏在其他的通讯协议中,如P2P等,要识别起来就比较麻烦,在流量管理技术中识别一般采用特征匹配技术,但是应用的特征多,而且变化快,对于IDS设备来说,面对的入侵是未知的,可能是通过各种通

5、讯手段的,所以对特征的识别要求较高一些;而对于审计产品来说,要审计的应用是已知的,系统不提供的服务也没有必要进行审计,所以对特征识别需要简单一些。二、“变异”特性  遗传保留的了两者的框架基础,变异产生了不同的产品应用。IDS与审计是为了不同的安全防护目的而设计的,“后天的”变化是必然的,其实他们根本就是不同类别的安全产品,不是“一条路上的人”。IDS设备作为安全监控的重要手段,审计是事后取证的安全产品。尽管两个产品长得很像(产品部署形态),但其内部是大不同的:  1、关键安全技术不同  IDS是监控产品,重点是及时分析出攻击行为,其关键的技术是对攻击的识别,也就是行为匹配分析技

6、术,无论是用户行为的匹配,还是统计异常的方法,都要在最短的时间内做出判断,是攻击则动作,不是攻击则放过。为了避免“敌人”漏网,一般对“疑似”的病例一律通告,最终的判断可以由人来决定。  审计产品的重点是日后的重现,不仅是行为动作,还有具体细节,所以审计产品对收集的数据整理后,首要的问题是如何存储,网络中的流量是庞大的,所以什么都存的话,不仅量大,而且存储的时间也紧张,比如公安的监控录像要求就是存三个月就可以了,但业务的审计可能需要几年、甚至几十年,所以如何规范数据,如何存储是审计产品的一个关键。另外对于过程重现来说,在庞大的数据里搜寻到需要的、具体某人的、特定的行为,在把他重放一

7、遍,这个过程本身就已经比较复杂了。  2、对收集信息的关注点不同  同样是网络镜像的数据,IDS在识别出是谁后,关注的是他的行为是否有攻击意图,也就是他动作的“合法性”,IDS是面对外来人的,所以更关心进门的“人”是否具有合法的身份,对做的工作是否有合法的授权,至于他如何做的,IDS就不关心了;而审计产品是面对内部人员的,不到具体人的审计意义是不大的,所以要记录他具体干了些什么,审计的是他工作的内容是否合法,不仅知道他怎么进的大门,而且知道他在房间了都具体做了什么事情,怎么做的…

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。