les gestionnaires des communications et des agents
Apprenez comment le réseau de votre sélection de produits, les gestionnaires et les agents ont besoin à une communication claire. La plupart du responsable du programme IDS vous demander tout d'abord et de la communication, et les gestionnaires vérifiera l'agence.
Généralement, les gestionnaires et les agents de communiquer en utilisant un cryptage à clé publique. Par exemple, les produits de Axent utiliser 400 cryptage long Diffie-Helman. Standard de chiffrement 128-bit SSL session. En comparant ces deux normes, vous pouvez trouver la plupart des fournisseurs IDS utilisent les communications sécurisées.
Certains des anciens produits de classe mainframe à travers l'utilisation des explicite ou très faible en session cryptée. Cette fonctionnalité est une ironie, ce qui est expressément transmission vulnérables à la piraterie aérienne et d'attaque «man-in-the-middle, ce peut endommager gravement votre moniteur et de protéger la sécurité du réseau.
Certains gestionnaires et d'autres gestionnaires peuvent communiquer. Cette communication entre les gestionnaires peuvent économiser la bande passante et de réduire la charge de gestion. Grâce à l'utilisation de la structure organisationnelle peut-être pour éviter de telles communications. Par exemple, Axent Intruder Alert (99vA) que l'on appelait la hiérarchie du domaine pour organiser les agents.
gestionnaire de la vérification et la communication agent
En tant que vérificateur, vous devez vérifier le nom d'utilisateur et mot de passe, et de ne pas conserver les paramètres par défaut. Dans le même temps, vous devez vous assurer que la communication doit être chiffré et aussi sécurisé que possible.
Détection d'intrusion hybride
Réseau de produits à base de détection d'intrusion basés sur l'hôte et de produits de détection d'intrusion sont insuffisantes, il suffit d'utiliser une catégorie de produits se traduira dans le système de défense active n'est pas exhaustive. Cependant, leurs défauts sont complémentaires. Si ces deux types de produits peuvent s'intégrer facilement déployé dans le réseau deviendra une structure tridimensionnelle complète du système de défense active, intègre deux types de système de détection d'intrusion basée sur le Web et basé sur l'hôte caractéristiques structurelles, peuvent découvrir les attaques de réseau L'information peut également être consultée à l'exception du journal système.
Règle
Comme pare-feu applicatif, vous devez établir des règles pour l'IDS. La plupart du programme IDS dispose d'une des règles pré-définies. Tu ferais mieux de modifier les règles existantes et ajouter de nouvelles règles de fournir la meilleure protection pour le réseau. règles habituelles définies deux catégories: les anomalies du réseau et l'utilisation abusive du réseau. De classe entreprise IDS sont généralement des centaines de règles peuvent être mises en œuvre.
différents fabricants utilisent des termes différents de vérification. Par exemple, eTrust Intrusion Detection avec les «règles» afin de discuter des règles d'audit de sécurité, et Intruder Alert utilisez les «politiques». Intruder Alert, vous apprendrez à utiliser des «politiques» veut dire quand une plus grande portée, il vous permet de définir des règles pour des stratégies individuelles. Par conséquent, pour comprendre chaque produit vendeur, ne vous laissez pas berner par le terme.
Réseau de surveillance des anomalies
programme IDS signale une anomalie au niveau de l'accord. S'il est configuré correctement, il vous invite à propos NetBus, Teardrop ou d'attaque «smurf». Par exemple, si il ya trop de connexions SYN, le programme IDS vous alerte.
Suivi Abuse Network
utilisation abusive du réseau des fins non-travail, y compris la navigation Web, l'installation non autorisée de services (tels que les services FTP WAR), et jouer à des jeux (comme Doom ou Quake). Vous pouvez effectuer son abattage, le blocage de la circulation ou prendre l'initiative d'arrêter. Par exemple, vous pouvez utiliser la mise en œuvre du programme du compteur ou un ensemble «factice» ou système d'induction réseau.
mauvaise utilisation d'Internet est un être physique, système d'exploitation ou le résultat d'attaques à longue distance. Les attaques physiques, y compris le vol d'un disque dur ou de la manipulation physique de la machine pour obtenir des informations. Proven attaques du système d'exploitation qui tentent d'obtenir un accès root. Moyens l'attaquant attaquant à distance d'attaque de l'équipement réseau.
méthodes de détection commune
Les méthodes de détection d'intrusion système de détection de la détection des phénomènes couramment utilisés, les tests statistiques et les systèmes experts. Selon le ministère de la Sécurité publique de l'informatique du Système d'information de sécurité du produit contrôle de la qualité et d'inspection Center du rapport, la censure intérieure des produits de détection d'intrusion sont utilisés dans 95% du gabarit de filtrage intrusion produits de détection de caractéristiques, d'autres 5% de probabilité et statistique en utilisant les produits de test statistique et Connaissance de produits à base de système expert journal.
Fonction de détection
La détection d'objets d'attaque connue ou l'invasion de manière déterministe décrit, la formation du modèle d'événement correspondant. Lorsque les événements d'audit et le mode de l'invasion connue match, qui est alarmante. principe semblables avec le système expert. La méthode de détection et de détection des virus informatiques de façon similaire. Sur la base de la caractérisation de l'ensemble actuel est largement utilisé filtrage. Prédiction de la haute précision de détection, mais pas de connaissance empirique de l'invasion et l'attaque ne pouvait rien faire.
tests statistiques
modèle statistique de détection d'anomalies utilisées dans le modèle statistique communément utilisé des paramètres de mesure incluent: le nombre d'événements d'audit, l'intervalle, la consommation de ressources et ainsi de suite. 5, généralement utilisés de détection d'intrusion statistiques modèles sont les suivants:
1, le modèle de fonctionnement, le modèle suppose que des exceptions peuvent être mesurées et comparées par un certain nombre d'objectifs fixes, des cibles fixes peuvent éprouver la valeur ou la durée moyenne des statistiques, par exemple, dans un court laps de temps de connexion a échoué plusieurs très probablement essayer d'attaquer le mot de passe;
2, la variance, les paramètres de calcul de la variance, mise en l'intervalle de confiance, lorsque la valeur mesurée dépasse la confiance large intervalle qui peut être anormal;
3, multi-modèle, modèle d'exploitation est prolongée par l'analyse de plusieurs paramètres simultanément afin d'obtenir de détection;
4, modèle de processus de Markov, chaque type d'événements sera définie comme l'état du système, avec la transition matrice d'état pour représenter l'état de changement, quand un événement se produit, ou l'état de la probabilité d'une telle matrice de transfert est plus petit Keneng est des événements exceptionnels;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。