Comunicaciones gestores y agentes
Aprende a red en su selección de productos, los administradores y los agentes necesitan una comunicación clara. La mayor parte de los responsables del Programa IDS le pedirá en primer lugar y la comunicación, y los gerentes de verificación de la agencia.
Típicamente, los gerentes y agentes de la comunicación mediante un cifrado de clave pública. Por ejemplo, los productos de uso Axent 400 cifrado largo de Diffie-Helman. Estándar de 128-bit SSL de cifrado de sesión. La comparación de estas dos normas, se puede encontrar la mayoría de los proveedores de IDS está utilizando comunicaciones seguras.
Algunos de los viejos productos de clase mainframe a través del uso de objetivos expresos o muy débil en la sesión cifrada. Esta función es una ironía, como expresamente la transmisión vulnerables al secuestro y el ataque Man-in-the-middle ", esta va a dañar seriamente su monitor y proteger la seguridad de la red.
Algunos gerentes y otros administradores pueden comunicarse. Esta comunicación entre los administradores pueden ahorrar ancho de banda y reducir su carga de gestión. A través del uso de la estructura organizativa puede ser evitar dichas comunicaciones. Por ejemplo, Axent Intruder Alert (99vA) solía llamarse la jerarquía de dominios para organizar a los agentes.
Gerente de Auditoría y la comunicación agente
Como auditor, debe comprobar el nombre de usuario y contraseña, y no para conservar la configuración predeterminada. Al mismo tiempo, usted tiene que asegurarse de que la comunicación debe ser encriptada y lo más seguro posible.
Híbrido de detección de intrusiones
productos de intrusiones basado en red de detección de intrusos y de los productos basados en host de detección no son suficientes, basta con utilizar una clase de productos se traducirá en el sistema de defensa activa no es exhaustiva. Sin embargo, sus defectos son complementarias. Si estos dos tipos de productos se pueden integrar sin problemas desplegados en la red se convertirá en una estructura tridimensional completo del sistema de defensa activo, integra dos tipos de sistemas de detección de intrusos basados en Web y basadas en host características estructurales, puede descubrir ataques a la red La información también se puede encontrar en las excepciones de registro del sistema.
Regla
Como firewall de aplicación, debe establecer normas para el IDS. La mayor parte del programa IDS tiene una reglas predefinidas. Será mejor que editar las reglas existentes y agregar nuevas normas para proporcionar la mejor protección para la red. normas habituales establecidas dos categorías: la anomalía de la red y el uso indebido de la red. De clase empresarial IDS suelen ser cientos de reglas se pueden aplicar.
Los distintos fabricantes utilizan una terminología diferente algunos de auditoría. Por ejemplo, eTrust Intrusion Detection con las "reglas" para discutir las normas de auditoría de seguridad y alerta de intrusos, utilizando las políticas son ". Intruder Alert usted aprenderá a utilizar las "políticas" significa que cuando más largo alcance, que le permite establecer reglas para las estrategias individuales. Por lo tanto, para entender los productos de cada proveedor, no se deje engañar por la palabra.
Red de vigilancia anomalía
programa de IDS informará de un nivel de concordancia anomalías. Si se configura correctamente, se le pedirá sobre NetBus, lágrima o un ataque Smurf. Por ejemplo, si hay conexiones SYN demasiados, el programa le avisará IDS.
Red de Monitoreo del Abuso de
Red de mal uso de efectos no laborales, tales como navegación por web, la instalación no autorizada de servicios (tales como la guerra los servicios de FTP) y jugar (como Doom o Quake). Puede llevar a cabo su registro, bloquear el tráfico o tomar la iniciativa para detener. Por ejemplo, puede utilizar la ejecución del programa de la contrarrevolución o conjunto "ficticio" del sistema o la inducción de la red.
mal uso de Internet es un sistema físico, operativo o el resultado de los ataques de largo alcance. Los ataques físicos incluyendo el robo de un disco duro o la manipulación física de la máquina para obtener información. Probado sistema operativo de los ataques que intentan obtener acceso como root. Significa que el atacante atacante remoto para atacar a los equipos de red.
Los métodos comunes de detección
Detección de Intrusos métodos de detección del sistema de uso común la detección de características, las pruebas estadísticas y sistemas expertos. Según el Ministerio de Seguridad Pública de Informática Sistema de Información de Seguridad de Productos Supervisión de Calidad e Inspección del Centro del informe, la censura interna de productos de detección de intrusiones se utilizan en el 95% de la plantilla de coincidencia de patrones de intrusión productos de detección de características, otros 5% de probabilidad y estadística utilizando los productos de prueba estadística y basada en el conocimiento de expertos productos de sistemas de registro.
Característica de detección de
la detección de características de ataque o invasión conocida forma determinista descrito, la formación del modelo de eventos correspondiente. Cuando los eventos de auditoría y el modo de la invasión conocida por partido, que es alarmante. principio similares con el sistema experto. El método de detección y detección de virus informáticos manera similar. Con base en la caracterización del paquete actual se utiliza mucho la coincidencia de patrones. Predicción de la alta precisión de la detección, pero no el conocimiento empírico de la invasión y el ataque no pudo hacer nada.
Estadística de prueba
modelo estadístico de detección de anomalías utilizados en el modelo estadístico utilizado parámetros de medición son: el número de eventos de auditoría, intervalo, el consumo de recursos y así sucesivamente. 5 de uso común de detección de intrusos estadística modelos son:
1, el modelo de operación, el modelo supone que las excepciones pueden ser medidos y comparados por una serie de objetivos fijados, las metas fijas puede experimentar el valor o el período de tiempo que el promedio de las estadísticas, por ejemplo, en un corto tiempo de inicio de sesión fallido varias más probable es que trate de atacar a la contraseña;
2, Diferencia, los parámetros de cálculo de varianza, estableciendo el intervalo de confianza, cuando el valor medido excede el rango de confianza intervalo que puede ser anormal;
3, del multi-modelo, el modelo de funcionamiento se extiende mediante el análisis de múltiples parámetros al mismo tiempo para lograr la detección;
4, modelo de Markov, cada tipo de evento se define como el estado del sistema, con la matriz de transición de estados para representar los cambios de estado, cuando se produce un evento, o el estado de la matriz de la baja probabilidad de metástasis puede ser la excepción;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。