日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

重新認識IDS防范網(wǎng)絡(luò)入侵基本行為

云知道

在頻繁的網(wǎng)絡(luò)入侵今天,防范的最好的辦法就是綜合使用防火墻、IDS和IPS 。
傳統(tǒng)的狀態(tài)檢測防火墻作為第一道防線,能夠防止網(wǎng)絡(luò)層攻擊,卻無法防范蠕蟲等針對應(yīng)用層的攻擊(這些攻擊都利用了80和443等開放端口) 。入侵檢測系統(tǒng)使用傳感器,傳感器被動地安裝在網(wǎng)絡(luò)上,用來監(jiān)測網(wǎng)絡(luò)通信,尋找任何惡意訪問跡象 。傳感器能夠發(fā)現(xiàn)針對應(yīng)用層的攻擊,卻不能阻止這些攻擊,當網(wǎng)管員接到IDS的報警信息并采取相應(yīng)措施時,經(jīng)常為時已晚 。
IDS的困擾
IDS會帶來大量的錯誤報警 。一些用戶認為,IDS經(jīng)常不斷發(fā)報警信息,結(jié)果大部分是誤報,而且報警信息不合乎邏輯,處理IDS的報警信息是一個讓人頭痛的問題,通常用戶需要花費20個小時去調(diào)查分析兩個小時的報警信息 。一些網(wǎng)管員抱怨說,“我每天都花大量時間查看IDS記錄,邊吃午飯邊查看,就連逢年過節(jié)也不例外,那些IDS記錄簡直就成了我每天必看的紅寶書 。
對于存在缺陷的IDS,Gartner建議用戶使用IPS(入侵預(yù)防系統(tǒng))代替?zhèn)鹘y(tǒng)的IDS 。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設(shè)備 。與進行簡單監(jiān)控并發(fā)出報警的IDS所不同的是,IPS只需保持在線就可以阻止攻擊 。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主機的IPS軟件,可以直接部署在應(yīng)用服務(wù)器上,攔截系統(tǒng)調(diào)用,監(jiān)控對關(guān)鍵系統(tǒng)文件的修改、文件允許權(quán)限的變更以及其他攻擊跡象 。
IDS真如Gartner所說的那樣壽終正寢了嗎?IPS能隨時取代IDS嗎?大多數(shù)分析家以及IDS廠商,甚至IPS廠商并不這么認為 。起碼到目前為止,大家認為IDS在安全審計和事后追蹤方面仍然無法替代 。實際上,IDS和IPS 使用相同的檢測技術(shù),兩者都會受到檢測準確性的困擾 。由于擔(dān)心IPS的錯誤判斷有可能影響正常的網(wǎng)絡(luò)服務(wù),大多數(shù)用戶將IPS以IDS(僅用于監(jiān)控)模式接入到企業(yè)網(wǎng)絡(luò)中 。
IDS攜手IPS 9
IDS和IPS廠商在自動化配置和智能分析方面正在做出更多嘗試 。例如,TippingPoint公司的UnityOne可以在數(shù)分鐘內(nèi)配置好 。包括Cisco、Symantec和ISS在內(nèi)的IDS廠商也能夠提供系統(tǒng)審計功能,以去除不相關(guān)的報警信息 。
與IDS產(chǎn)品相比,IPS設(shè)備價格昂貴 。IPS在保護外圍、DMZ區(qū)以及一個或兩個關(guān)鍵性的子網(wǎng)方面很有用處,但是在一個擁有400個子網(wǎng)的大型網(wǎng)絡(luò)里,用戶也許就沒有經(jīng)濟實力為所有子網(wǎng)都部署IPS了 。
事實上,IPS與IDS配合使用可以各取所長 。IPS在阻止蠕蟲病毒等針對應(yīng)用層攻擊的同時,還可以減少內(nèi)部IDS生成的報警數(shù)量,使用戶安心地使用IDS監(jiān)控子網(wǎng)以及完善企業(yè)安全戰(zhàn)略 。例如,一位用戶使用Top Layer的Attack Mitigator IPS來保護網(wǎng)關(guān)和數(shù)據(jù)中心,通過打開每一個過濾程序以確信不會封鎖任何合法的商業(yè)流程 。Attack Mitigator IPS被部署在防火墻之外以阻擋Dos攻擊,同時這位用戶在網(wǎng)絡(luò)內(nèi)部使用IDS進行監(jiān)控,并不需要花費太多時間去查看IDS記錄 。無獨有偶,另一位用戶在網(wǎng)絡(luò)外圍使用TippingPoint UnityOne IPS設(shè)備,并在網(wǎng)絡(luò)內(nèi)部大量使用基于行為檢測技術(shù)的StealthWatch IDS以取代原來的Snort IDS設(shè)備 。在IPS的阻斷作用下,IDS報警信息的數(shù)量減少了99%,以前這位用戶需要把整天時間用來查看IDS記錄,現(xiàn)在卻不用這樣做了 。
小結(jié)
除IPS之外,另一種專門用來保護Web服務(wù)器和DMZ應(yīng)用的技術(shù)是Web應(yīng)用防火墻,這類產(chǎn)品主要是阻止Web應(yīng)用盜用,尤其是防止被防火墻和IPS遺漏的Web應(yīng)用盜用攻擊 。此外,基于主機的入侵防御軟件還可以為Web應(yīng)用以及內(nèi)部關(guān)鍵服務(wù)器提供額外保護 。Check Point和NetScreen在防火墻產(chǎn)品中增加了深層檢測功能,與依靠硬件實現(xiàn)深層檢測功能的IPS和Web應(yīng)用防火墻所不同的是,Check Point和NetScreen應(yīng)用防火墻是基于軟件來實現(xiàn)的 。

推薦閱讀