Kommunikasjon ledere og agenter
Lær hvordan du nettverket ditt valg av produkter, ledere og agenter må klar kommunikasjon. De fleste av IDS-programmet manager spør du først av alt og kommunikasjon, og ledere ville sjekk byrå.
Vanligvis, for ledere og agenter kommuniserer via en offentlig nøkkel kryptering. For eksempel, Axent's produkter bruker 400 long-Diffie-Helman kryptering. Standard 128-bit SSL-økt kryptering. Sammenligning av disse to standardene, kan du finne det meste av IDS-leverandører bruker sikker kommunikasjon.
Noen av de gamle stormaskin-klassen produkter gjennom bruk av eksplisitt eller svært svak i kryptert sesjon. Denne funksjonen er en ironi, som uttrykkelig overføring utsatt for kapring og Man-in-the-middle angrep, vil dette alvorlig skade overvåke og beskytte nettverkssikkerhet.
Enkelte ledere og andre ledere kan kommunisere. Denne kommunikasjonen mellom ledere kan spare båndbredde og redusere din administrasjon byrde. Gjennom bruk av organisasjonsstrukturen kan være å unngå slik kommunikasjon. For eksempel Axent Intruder Alert (99vA) pleide å bli kalt domenet hierarki å organisere agenter.
Tilsyn manager og agent kommunikasjon
Som revisor, bør du kontrollere brukernavn og passord, og ikke å beholde standardinnstillingene. Samtidig, må du sørge for at kommunikasjonen skal være kryptert, og så sikker som mulig.
Hybrid Intrusion Detection
Nettverksbaserte oppdage inntrenging produkter og vertsbasert oppdage inntrenging produkter er mangelfulle, bare å bruke en klasse av produkter vil resultere i aktivt forsvar systemet ikke er omfattende. Men de mangler er komplementære. Hvis disse to typene produkter kan integreres sømløst deployert i nettverket vil bli en komplett tredimensjonal struktur av aktivt forsvar system, integrerer to typer web-basert og vertsbasert Intrusion Detection System strukturelle egenskaper, kan oppdage nettverksangrep Informasjon kan også finnes fra systemloggen unntak.
Regel
Som søknaden brannmur, må du opprette regler for IDS. Mesteparten av IDS-programmet har en pre-definerte regler. Du bør nok redigere de eksisterende regler og legge til nye regler for å gi best mulig beskyttelse for nettverket. Vanlige regler fastsatt to kategorier: nettverk anomali og nettverk misbruk. Enterprise-klassen IDS er vanligvis hundrevis av regler kan iverksettes.
Forskjellige produsenter bruker noen forskjellige terminologi revisjon. For eksempel eTrust Intrusion Detection med "regler" for å diskutere sikkerheten revisjonen regler, og Intruder Alert bruker "politikk". Inntrenger Alert du vil lære å bruke "politikk" betyr når mer vidtrekkende, det kan du sette opp regler for individuelle strategier. Derfor, å forstå hvert leverandørens produkt, ikke la deg lure av betegnelsen.
Nettverk anomali avlytting
IDS-programmet vil rapportere en avtale-nivå anomalier. Hvis det er konfigurert riktig, blir du bedt om NetBus, Teardrop eller Smurf angrep. For eksempel, hvis det er for mange SYN-tilkoblinger, vil IDS-programmet varsle deg.
Nettverk Misbruk Monitoring
Nettverk misbruk av ikke-arbeid formål, inkludert nettlesere, uautorisert installasjon av tjenester (for eksempel KRIG FTP-tjenester), og spille spill (som Doom eller Quake). Du kan utføre sin logging, blokkerer trafikken eller ta initiativ til å stoppe. For eksempel kan du bruke programmet gjennomføring av disken eller angi "dummy"-system eller nettverk induksjon.
Internett misbruk er en fysisk, operativsystemet eller resultatet av langtrekkende angrep. Fysiske angrep inkludert tyveri av en harddisk eller fysisk manipulasjon av maskinen for å få informasjon. Dokumenterte operativsystem angrep som forsøker å få root brukeren tilgang. Betyr angriperen ekstern angriper kan angripe nettverksutstyr.
Vanlige deteksjonsmetoder
Intrusion Detection System gjenkjenning metoder som vanligvis benyttes funksjonen oppdagelsen, statistisk testing og ekspertsystemer. Ifølge departementet for offentlig sikkerhet i Computer Information System Security produktkvalitet tilsyn og kontroll Center rapport, den innenlandske sensur av inntrenging deteksjon produkter i 95% av en bruk av malen som samsvarer oppdage inntrenging produkter av Tezheng, andre 5% av sannsynlighet og statistikk i den statistiske testen brukte produkter og kunnskapsbasert ekspertsystem logg produkter.
Feature Detection
Feature deteksjon av kjente angrep eller invasjon deterministisk måten som er beskrevet, dannelsen av den tilsvarende hendelsen modellen. Når tilsynet hendelser og modus for invasjonen kjent for å matche, som er alarmerende. Lignende prinsipp med eksperten systemet. Oppdagelsen metode og påvisning av datavirus lignende måte. Basert på karakterisering av den aktuelle pakken er mye brukt mønstersamsvar. Prediksjon av den høye nøyaktigheten av oppdagelsen, men ingen empirisk kunnskap om invasjonen og angrepet kunne ikke gjøre noe.
Statistisk testing
Statistiske avvik deteksjon modellen som brukes i den statistiske modellen som vanligvis brukes måleparametere omfatter: antall tilsynet hendelser, intervall, ressursforbruk og så videre. Brukte statistiske modeller Intrusion Detection 5 er:
1, operasjonen modellen, forutsetter modellen at unormale måleresultatene kan sammenlignes med det antall faste mål er, kan du oppleve verdien av et fast mål eller en periode gjennomsnittet statistikken, for eksempel i en kort tid de mange mislykkede innloggingsforsøk mest sannsynlig prøve å angripe passord;
2, Avvik, variansen beregning parametere, sette konfidensintervall, da den målte verdien overstiger konfidensintervall området som kan være unormal;
3, multi-modell, driftsmodellen utvides med analyse av flere parametere samtidig for å oppnå oppdagelse;
4, Markov prosess modell, definisjonen av hver type hendelse for systemet staten, med stat overgang matrise å representere staten endres, når en hendelse oppstår, eller staten overføringen matrise kan være en lav sannsynlighet for unormale hendelser;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。