Communications Manager und Agenten
Erfahren Sie, wie Sie in Ihrer Auswahl von Produkten Netzwerk herstellen, müssen Manager und Agenten, um die Kommunikation klar. Die meisten der IDS-Programm-Manager fragen Sie zunächst, Kommunikation und Management Agentur wird überprüfen.
Normalerweise auf Manager und Agenten kommunizieren mit einem Public Key-Verschlüsselung. Zum Beispiel verwenden die Produkte Axent 400 lang-Diffie-Helman-Verschlüsselung. Standard 128-bit SSL-Session-Verschlüsselung. Vergleicht man diese beiden Standards, können Sie die meisten der IDS-Anbieter verwenden eine sichere Kommunikation zu finden.
Einige der alten Mainframe-Class-Produkte durch die Verwendung von expliziten oder sehr schwach verschlüsselte Sitzung. Diese Funktion ist eine Ironie, wie ausdrücklich Übertragung anfällig für Hijacking und Man-in-the-middle-Angriff, wird diese ernsthaft schädigen und schützen Sie Ihren Monitor Netzwerksicherheit.
Einige Manager und andere Führungskräfte kommunizieren kann. Diese Kommunikation zwischen Managern spart Bandbreite und reduzieren Ihren Verwaltungsaufwand. Durch den Einsatz der Organisationsstruktur werden kann, um solche Mitteilungen zu vermeiden. Zum Beispiel, Axent Intruder Alert (99vA) Früher nannte man die Domäne-Hierarchie, um die Agenten zu organisieren.
Audit Manager und Agenten Kommunikation
Als Prüfer, sollten Sie überprüfen, den Benutzernamen und das Kennwort ein, und nicht auf die Standardeinstellungen beizubehalten. Zur gleichen Zeit haben Sie, um sicherzustellen, dass die Kommunikation verschlüsselt werden soll und so sicher wie möglich.
Hybrid Intrusion Detection
Netzwerk-basierte Intrusion-Detection-Produkte und Host-basierte Intrusion-Detection-Produkte sind nicht ausreichend, einfach eine Klasse von Produkten wird in Active Defense System Resultat ist nicht umfassend. Allerdings sind ihre Mängel ergänzen. Wenn diese beiden Arten von Produkte können nahtlos in das Netzwerk implementiert wird eine komplette dreidimensionale Struktur des aktiven Schutzes System zu werden, integriert zwei Arten von Web-basierte und Host-basierte Intrusion Detection System strukturelle Merkmale, können Netzwerk-Angriffe zu entdecken Informationen können auch aus dem System anmelden Ausnahmen gefunden werden.
Regel
Als Application Firewall, müssen Sie Regeln festlegen für die IDS. Die meisten der IDS-Programm hat einen vordefinierten Regeln. Du solltest besser bearbeiten Sie die bestehenden Regeln und neue Regeln für den besten Schutz für das Netzwerk bereitzustellen. Allgemeinen Regeln zwei Kategorien: Netzwerk-Anomalien und Netzwerk-Missbrauch. IDS Enterprise-Klasse sind in der Regel Hunderte von Vorschriften umgesetzt werden können.
Verschiedene Hersteller verwenden einige andere Terminologie prüfen. Zum Beispiel, eTrust Intrusion Detection mit den "Spielregeln" für das Security-Audit Regeln zu erörtern und Intruder Alert sind mit der "Politik". Intruder Alert werden Sie lernen, "Politiken" Nutzung bedeutet, wenn weitreichender, es Ihnen zu errichten Regeln für die einzelnen Strategien ermöglicht. Um zu verstehen, jeder Hersteller das Produkt, nicht durch den Begriff nicht täuschen.
Monitoring Network Anomaly
IDS-Programm meldet eine Einigung Ebene Anomalien. Wenn richtig konfiguriert, werden Sie aufgefordert, über NetBus, Teardrop oder Smurf-Attacke. Zum Beispiel, wenn es zu viele SYN-Verbindungen, wird IDS-Programm warnt Sie.
Monitoring Network Abuse
Network Missbrauch von Nicht-Arbeit verwendet werden, einschließlich Web-Browsing, unbefugte Installation von Dienstleistungen (wie WAR FTP-Dienste) und Spielen (wie Doom oder Quake). Sie können die Protokollierung ihrer, blockieren den Verkehr oder die Initiative ergreifen, um zu stoppen. Zum Beispiel können Sie mit der Durchführung des Programms der Theke oder auf "Dummy"-System oder Netzwerk Induktion.
Internet-Missbrauch ist ein physischer, Betriebssystem oder das Ergebnis der Langstrecken-Angriffe. Körperliche Angriffe, einschließlich Diebstahl von einer Festplatte oder physikalische Manipulation der Maschine, um Informationen zu erhalten. Bewährte Betriebssystem Angriffe, um root Zugriffsrechte zu erlangen versucht. Die Mittel der Angreifer Angreifer zum Angriff auf die Netzwerk-Equipment.
Gemeinsame Nachweismethoden
Intrusion Detection System Nachweismethoden gemeinhin Feature-Erkennung, statistische Tests und Sachverständigen eingesetzt. Laut Ministerium für öffentliche Sicherheit von Computersystemen Information System Security Product Quality Supervision und Inspection Center des Berichts, der inneren Zensur von Intrusion-Detection-Produkte sind in 95% der Vorlage Mustervergleich Intrusion-Detection-Produkte Eigenschaften, andere 5% der Wahrscheinlichkeitsrechnung und Statistik mit Hilfe der statistischen Versuchsplanung Produkte und verwendet Knowledge-based-Experte Systemprotokoll Produkte.
Feature-Erkennung
Feature-Erkennung bekannter Angriff oder einer Invasion deterministische Art und Weise beschrieben, die Bildung des entsprechenden Event-Modell. Wenn der Audit-Ereignisse und die Art der Invasion bekannten Spiel, das ist alarmierend. Ähnliches Prinzip mit dem Expertensystem. Die Nachweismethode und Erkennung von Computerviren auf ähnliche Weise. Basierend auf der Charakterisierung des aktuellen Pakets ist weithin Mustererkennung eingesetzt. Vorhersage der hohen Genauigkeit der Erkennung, aber kein empirisches Wissen über die Invasion und den Angriff konnte nichts tun.
Statistische Tests
Statistisches Modell verwendet Erkennung, häufig in das statistische Modell zur Messung verwendeten Parameter sind: die Zahl der Audit-Ereignisse, Intervall, Ressourcenverbrauch Situation. 5 häufigsten verwendeten statistischen Modellen Intrusion Detection sind:
1, den Betrieb Modell, übernimmt das Modell, das mit dem abnormen Bereich kann durch Indikatoren in den Vergleichen von einigen festen, festen Index kann Werte oder einen bestimmten Zeitraum Shi Jian Genju innerhalb des statistischen Pingjun Erfahrung sein, zum Beispiel gemessen werden, in kurzer Zeit von Duoci Scheitern der Deng Lu wahrscheinlich versuchen, das Passwort zu schützen;
2, Varianz, die Varianz Berechnungsparameter, Einstellung des Konfidenzintervalls, wenn der gemessene Wert übertrifft die Zuversicht, dass Intervallbereich werden abnorme können;
3, Multi-Modell, Betriebssystem-Modell ist durch die Analyse mehrerer Parameter erweitert gleichzeitig die Erkennung zu erreichen;
4, Markov-Modell, jede Art von Veranstaltung ist als das System Zustand definiert, mit State-Transition-Matrix auf den Zustand ändert, wenn ein Ereignis auftritt oder der Zustand der Matrix geringe Wahrscheinlichkeit der Übertragung von abnormer Ereignisse kann ja vertreten;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。