通信マネージャとエージェント
製品の選択を学ぶ方法をネットワークでは、マネージャとエージェントの通信をオフにする必要があります。 IDSのプログラムマネージャのほとんどは、すべての通信の最初のをお願いし、管理者が代理店をチェックします。
通常、マネージャとエージェントは、公開キー暗号化を使用して通信する。たとえば、Axentの製品は400長期のDiffie -ヘルマンの暗号化を使用します。標準の128ビットのSSLセッションの暗号化。これらの2つの規格を比較すると、セキュアな通信を使用しているのIDSベンダーのほとんどを見つけることができます。
いくつかの古いメインフレームクラスの製品の暗号化されたセッションまたは非常に弱い明示的にを使用して。およびman - in - the - middle攻撃ハイジャックこの機能は、皮肉として明示的に伝送脆弱性は、この深刻なモニタとネットワークのセキュリティを保護する損傷します。
一部の管理者や他の管理者が通信することができます。管理者の間にこの通信は、帯域幅を節約することができますし、管理の負担を軽減。組織構造の使用することによりこのような通信を避けるために可能性があります。たとえば、Axent侵入アラート(99vA)を使用し、ドメイン階層エージェントを整理するために呼び出される。
監査マネージャとエージェントの通信
監査役として、あなたは、ユーザー名とパスワードを確認してくださいではなく、既定の設定を保持する。同時に、あなたは、通信が暗号化する必要があります可能な限り確保することを確認する必要があります。
ハイブリッド侵入検知
ネットワークベースの侵入検知製品とホストベースの侵入検知製品では不十分、単にアクティブな防衛システムになります製品のクラスを使用している包括的なされていません。しかし、その欠陥が補完されます。製品のこれら2つのタイプがシームレスにネットワークに積極的に防衛システムの完全な3次元構造になっwill配備、統合することができます場合は、ネットワーク攻撃を検出できるWebベースおよびホストベースの侵入検知システムの2種類の構造的特徴を統合情報は、システムログの例外から見つけることができます。
ルール
アプリケーションファイアウォールとして、あなたは、IDSのルールを確立する必要があります。 IDSのプログラムのほとんどは、あらかじめ定義されたルールがあります。方がいい、既存のルールを編集したいとネットワークに最適な保護を提供する新しいルールを追加します。通常のルールは2つのカテゴリ:ネットワーク異常やネットワークの不正使用を設立した。エンタープライズクラスのIDSは、通常のルール何百もの実装することができますされます。
別のメーカーが異なる監査の用語を使用します。たとえば、"ルール"のセキュリティ監査ルールを議論し、侵入者の警告"政策"を使用している侵入検知は、eTrust。侵入アラートでは、"政策"を使用方法を学習しますがより広範囲に、それはあなたの個々の戦略のためのルールを設定することができますを意味します。したがって、長期的にだまされない、各ベンダーの製品を理解する。
ネットワークの異常監視
IDSのプログラムは、契約レベルの異常を報告します。正しく設定した場合、それはあなたを求める『ネットバス』、ティアドロップやSmurfアタック。たとえば、あまりにも多くののSYN接続は、IDSのプログラムは警告を表示します。
ネットワーク乱用の監視
WARファイルのFTPサービスなどのWebブラウジング、サービス(の不正なインストールなどの非作業目的のネットワークの誤用)、および『Doom』や『Quake』のようなゲームを()。あなたは、そのログ、トラフィックをブロックを行うことができますか主導権を停止する時間がかかる。たとえば、カウンタのプログラムの実装を使用するか、設定の"ダミー"システムやネットワークの誘導。
インターネットの誤用は、物理的オペレーティングシステム、または長期的な攻撃の結果です。ハードディスクまたはマシンの物理的な操作の盗難情報を取得するなど、物理的な攻撃。 rootユーザアクセスを手にしようとすると実績のあるオペレーティングシステムの攻撃。意味する攻撃者がリモートの攻撃者のネットワーク機器を攻撃する。
一般的な検出方法
侵入検知システムの検出方法が一般的特徴抽出、統計的検定とエキスパートシステムを使用します。省公安コンピュータの情報システムセキュリティ製品品質監督検査センター報告書によると、国内検閲侵入検知製品は、パターンを侵入検知製品の特性を、確率と統計の他の5%の統計テスト製品とテンプレートマッチングを使っての95%で使用される知識ベースのエキスパートシステムログ製品。
特徴検出
既知の攻撃や侵入決定方法の特徴検出は、対応するイベントモデルの形成を説明する。時の監査イベントと侵略、それは驚くべきものと一致することが知られのモードです。エキスパートシステムと同様の原理。検出方法およびコンピュータの検出は同様の方法をウイルス。現在のパッケージの特性に基づいて広くパターンマッチングを使用されます。検出の高精度の予測が、侵入のない経験的知識と攻撃何もしないことができます。
統計的テスト
統計異常検出モデルは、統計モデルの一般的な測定パラメータを使用する使用が含ま:監査イベント、間隔、リソースの消費などの数。 5一般的に使用される統計モデルの侵入検知があります:
1、操作モデルは、モデルでは、例外が測定することができることを前提と固定ターゲットの数で比較、静止ターゲットが値または期間を体験できる平均の統計は、例えば、いくつかの失敗したログインの短い時間で最も可能性が高いパスワードを攻撃しようとする。
異常かもしれない2、分散、分散計算のパラメータ設定、信頼区間、測定値の信頼を超える区間の範囲。
3は、複数のモデル、オペレーティングモデル複数のパラメータの解析を同時に検出を達成するために拡張されます。
状態遷移4、マルコフモデルでは、イベントの種類ごとにシステムの状態として定義され、状態の変化を、イベント、または状態が転移の確率が低い例外であるかもしれない行列occurs表現する行列。
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。