Communicatie managers en agenten
Leer hoe je netwerk in uw selectie van producten, managers en agenten nodig om de communicatie duidelijk. Het merendeel van de programma-manager IDS u vragen in de eerste plaats en communicatie, en managers agentschap zal controleren.
Typisch, managers en agenten communiceren via een publieke sleutel encryptie. Bijvoorbeeld, Axent's producten maken gebruik van 400 lange Diffie-Helman encryptie. Standaard 128-bit SSL-sessie-encryptie. Vergelijking van deze twee normen, vindt u het merendeel van de IDS leveranciers zijn met behulp van beveiligde communicatie.
Sommige van de oude mainframe-class producten door het gebruik van expliciete of zeer zwak in gecodeerde sessie. Deze functie is een ironie, zoals uitdrukkelijk de overbrenging kwetsbaar voor hijacking en Man-in-the-middle-aanval, zal dit ernstige schade aan uw monitor te beschermen en netwerkbeveiliging.
Sommige managers en andere managers kan communiceren. Deze communicatie tussen managers kunnen bandbreedte te besparen en verminderen uw management last. Door het gebruik van de organisatiestructuur kan worden om dergelijke mededelingen te voorkomen. Bijvoorbeeld, Axent Intruder Alert (99vA) gebruikt te worden genoemd de domeinhiërarchie aan de agenten te organiseren.
Audit Manager en agent communicatie
Als accountant, moet u controleren of de gebruikersnaam en wachtwoord, en niet om de standaardinstellingen te behouden. Tegelijkertijd moet je ervoor zorgen dat de communicatie moet worden gecodeerd en zo veilig mogelijk.
Hybride Intrusion Detection
Network-based Intrusion Detection producten en host-based intrusion detection producten ontoereikend zijn, gewoon gebruik maken van een categorie van producten zal resulteren in actieve afweersysteem is niet volledig. Echter, hun gebreken zijn complementair. Als deze twee soorten producten kunnen integreren naadloos ingezet in het netwerk zal een volledige driedimensionale structuur van de actieve verdediging systemen, geïntegreerde netwerken te worden en op basis van twee structurele kenmerken van de host-based intrusion detection-systeem, kan een aanvaller het net te vinden Informatie kan ook worden gevonden bij de systeem log uitzonderingen.
Regel
Als Application Firewall, moet u regels opstellen voor het IDS. Het merendeel van de IDS programma heeft een vooraf gedefinieerde regels. Je kunt maar beter bewerken van de bestaande regels en het toevoegen van nieuwe regels om de beste bescherming voor het netwerk. De gebruikelijke regels van twee categorieën: netwerk en het netwerk anomalie misbruik. Enterprise-klasse IDS zijn meestal honderden regels kunnen worden uitgevoerd.
Verschillende fabrikanten gebruiken een andere terminologie audit. Bijvoorbeeld, eTrust Intrusion Detection met de "regels" om de security audit regels te bespreken en Intruder Alert zijn met behulp van de "beleid". Intruder Alert leert u "beleid" gebruik ": wanneer er meer verregaande, Hiermee kunt u regels instellen voor afzonderlijke strategieën. Daarom moet elke leverancier het product te begrijpen, laat je niet misleiden door de term.
Netwerk monitoring anomalie
IDS programma zal een verslag van een overeenkomst niveau anomalieën. Indien correct is geconfigureerd, wordt u gevraagd over NetBus, Teardrop of Smurf aanval. Bijvoorbeeld, als er te veel SYN-verbindingen, zal IDS programma u waarschuwen.
Network Monitoring Misbruik
Netwerk misbruik van niet-werk doeleinden, waaronder surfen, ongeautoriseerde installatie van diensten (zoals oorlog FTP services), en spelletjes spelen (zoals Doom of Quake). U kunt de uitvoering van haar houtkap, het blokkeren van het verkeer of het initiatief nemen om te stoppen. Bijvoorbeeld, kunt u gebruik maken van de uitvoering van het programma van de teller of stel "dummy"-systeem of het netwerk inductie.
Internet-misbruik is een fysieke, het besturingssysteem of het resultaat van lange afstand aanvallen. Fysieke aanvallen met inbegrip van diefstal van een harde schijf of fysieke manipulatie van de machine om informatie te verkrijgen. Bewezen het besturingssysteem aanvallen die poging om root gebruiker toegang te krijgen. Betekend dat de aanvaller aanvaller op afstand de netwerkapparatuur aanval.
Gemeenschappelijke detectiemethoden
Intrusion Detection System detectiemethoden gebruikte functie de detectie, met statistische toetsing en expert-systemen. Volgens het ministerie van Openbare Veiligheid van de Computer Information System Security Product Quality toezicht en inspectie Center van het verslag, binnenlandse censuur van intrusion detection producten worden gebruikt in 95% van de sjabloon zoekpatronen intrusion detection producten kenmerken, andere 5% van de kansrekening en statistiek met behulp van de statistische toets producten en Knowledge-based expert system log producten.
Feature Detection
Feature detectie van bekende aanval of een invasie deterministisch beschreven wijze, de vorming van de corresponderende event-model. Wanneer de audit evenementen en de wijze van de invasie bekend match, dat is alarmerend. Soortgelijk principe met de expert-systeem. De detectiemethode en detectie van virussen op soortgelijke wijze. Op basis van de karakterisering van het huidige pakket is op grote schaal gebruikt patroonherkenning. Voorspelling van de hoge nauwkeurigheid van de detectie, maar er is geen empirische kennis van de invasie en de aanval kon niets doen.
Statistische testen
Statistische anomalie detectie model dat wordt gebruikt in het statistische model gebruikte parameters die worden gemeten omvatten: het aantal audit evenementen, interval, verbruik van hulpbronnen en ga zo maar door. 5 veelgebruikte statistische modellen intrusion detection zijn:
1, de operatie-model, het model ervan uitgaat dat er uitzonderingen kunnen worden gemeten en vergeleken door een aantal vaste doelen, kan de ervaring van de doelstellingen stationaire waarde of periode de gemiddelde statistieken, bijvoorbeeld, in een korte tijd van een aantal mislukte login waarschijnlijk proberen om het wachtwoord te vallen;
2, Variantie, de variantie berekeningsparameters, de vaststelling van het betrouwbaarheidsinterval, wanneer de gemeten waarde hoger is dan het vertrouwen dat de interval kan abnormaal zijn;
3, multi-model, operationele model wordt uitgebreid door de analyse van meerdere parameters tegelijk om detectie te bereiken;
4, Markov-model, elk type van het evenement wordt gedefinieerd als het systeem staat, met state transition matrix om de toestand verandert, wanneer een gebeurtenis zich voordoet, of de staat matrix van de lage waarschijnlijkheid van uitzaaiingen kan de uitzondering te vertegenwoordigen;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。