gestori delle comunicazioni e degli agenti
Impara a rete nella vostra selezione di prodotti, manager e agenti hanno bisogno di una comunicazione chiara. La maggior parte dei program manager di IDS si chiede prima di tutto e di comunicazione, e manager verificherà agenzia.
In genere, i manager e gli agenti di comunicare utilizzando una cifratura a chiave pubblica. Per esempio, i prodotti di uso Axent 400 crittografia a lungo Diffie-Helman. Standard a 128 bit SSL sessione di crittografia. Confrontando queste due norme, è possibile trovare la maggior parte dei fornitori di IDS utilizzano comunicazioni sicure.
Alcuni dei vecchi prodotti di classe mainframe attraverso l'uso di espliciti o molto debole in sessione criptata. Questa funzione è un'ironia, come espressamente trasmissione vulnerabile il dirottamento di aerei e attacchi Man-in-the-middle, questo potrebbe danneggiare seriamente il monitor e la tutela della sicurezza della rete.
Alcuni manager e agli altri amministratori possono comunicare. La comunicazione tra i gestori possono risparmiare larghezza di banda e ridurre il carico di gestione. Attraverso l'uso della struttura organizzativa può essere quello di evitare tali comunicazioni. Ad esempio, Axent Intruder Alert (99vA) veniva chiamata la gerarchia di domini per organizzare gli agenti.
Audit Manager e comunicazione agente
Come revisore dei conti, si dovrebbe verificare il nome utente e la password, e non per mantenere le impostazioni predefinite. Allo stesso tempo, è necessario garantire che la comunicazione dovrebbe essere cifrati e il più sicuro possibile.
Hybrid Intrusion Detection
Network di prodotti a base di rilevamento delle intrusioni host e prodotti a base di rilevamento delle intrusioni sono inadeguati, è sufficiente utilizzare una categoria di prodotti si tradurrà in sistema di difesa attiva non è completo. Tuttavia, i loro difetti sono complementari. Se questi due tipi di prodotti in grado di integrare perfettamente calato in rete diventerà una struttura tridimensionale completa del sistema di difesa attiva, integra i due tipi di sistema di intrusione basati su Web e host-based per la scoperta delle caratteristiche strutturali, può scoprire gli attacchi alla rete Informazioni si possono trovare anche eccezioni di log del sistema.
Regola
Come firewall applicazione, è necessario stabilire norme per il IDS. La maggior parte del programma ha un IDS regole pre-definite. Faresti meglio a modificare le norme esistenti e aggiungere nuove regole per fornire la migliore protezione per la rete. norme abituali definite due categorie: anomalia di rete e l'uso improprio della rete. Di classe enterprise IDS di solito sono centinaia di regole possono essere applicate.
Diversi produttori di utilizzare alcuni audit diversi terminologia. Ad esempio, eTrust Intrusion Detection con le "regole" per discutere delle norme di sicurezza di audit e Intruder Alert utilizzano il "politiche". Intruder Alert imparerete a usare "politiche" si intende quando di più ampia portata, permette di impostare le regole per le strategie individuali. Pertanto, per capire prodotto ogni fornitore, non fatevi ingannare dal termine.
Anomalia della rete di monitoraggio
IDS programma segnalerà un accordo a livello di anomalie. Se configurato correttamente, vi verrà chiesto su NetBus, Teardrop o attacco Smurf. Per esempio, se c'è un numero eccessivo di connessioni SYN, il programma di IDS avviserà.
Abuso di rete di monitoraggio
Rete di abuso a fini non di lavoro, compresa la navigazione Web, l'installazione non autorizzata di servizi (come la guerra servizi FTP), e giochi (come Doom o Quake). Si può svolgere la sua registrazione, il blocco del traffico o di prendere l'iniziativa di smettere. Ad esempio, è possibile utilizzare l'attuazione del programma del contatore o impostare sistema "fittizio o induzione di rete.
abuso di Internet è un fisico, il sistema operativo o il risultato di attacchi a lungo raggio. Le aggressioni fisiche tra cui il furto di un disco rigido o la manipolazione fisica della macchina per ottenere informazioni. Comprovata attacchi al sistema operativo che tentare di ottenere l'accesso come utente root. Mezzi l'attaccante attaccante remoto di attaccare l'apparecchiatura di rete.
metodi di rilevazione comuni
Intrusion Detection System i metodi di rilevazione di uso comune caratteristica di rilevazione, l'analisi statistica e sistemi esperti. Secondo il Ministero della Pubblica Sicurezza del Computer Information System Security di qualità del prodotto Vigilanza e Controllo Centro della relazione, la censura interna di prodotti per la rilevazione delle intrusioni sono utilizzati nel 95% dei template pattern matching delle intrusioni prodotti per la rilevazione delle caratteristiche, altro 5% di probabilità e statistica, test statistici utilizzati prodotti e Knowledge-based Expert System log prodotti.
Funzione di rilevamento
Caratteristica di rilevazione di attacchi noti o invasione modo deterministico descritto, la formazione del modello di eventi corrispondenti. Quando gli eventi di controllo e le modalità di invasione noti per corrispondenza, che è allarmante. principio simile al sistema esperto. Il metodo di rilevazione ed individuazione di virus informatici modo simile. Sulla base della caratterizzazione del pacchetto attuale è ampiamente usato il pattern matching. Previsione della elevata precisione di rilevamento, ma non la conoscenza empirica della invasione e l'attacco non poteva fare niente.
Statistica test
modello di rilevazione statistica anomalia utilizzati nel modello statistico comunemente utilizzati parametri di misura sono: il numero di eventi di controllo, intervallo, il consumo di risorse e così via. 5 comunemente utilizzati i modelli di rilevazione statistica delle intrusioni sono:
1, il modello di funzionamento, il modello assume che area anormale può essere misurando i risultati ei confronti di alcuni target fissato con un valore di indice fisso può essere un'esperienza Genju o media statistica nel corso del tempo sono, per esempio, in un breve periodo di tempo più riuscito login più probabile tentativo di attaccare la password;
2, varianza, la varianza dei parametri di calcolo, impostare l'intervallo di confidenza, quando il valore misurato supera il range intervallo di confidenza che può essere anormale;
3, multi-modello, il modello operativo è prorogato di analisi di più parametri contemporaneamente per ottenere rilevazione;
4, modello di Markov, ogni tipo di evento è definito come lo stato del sistema, con matrice di transizione di stato per rappresentare i cambiamenti di stato, quando si verifica un evento, o lo stato di matrice bassa la probabilità di metastasi può essere l'eccezione;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。