Kommunikation och fastighetsmäklare
Lär dig att nätverket i ditt val av produkter, chefer och agenter måste tydlig kommunikation. De flesta av IDS programchef fråga dig först och kommunikation samt för chefer kontrollerar byrå.
Typiskt för chefer och agenter kommunicerar med hjälp av en öppen nyckel-kryptering. Till exempel Axent s produkter använder 400 lång Diffie-Helman kryptering. Standard 128-bitars SSL-session kryptering. Jämföra dessa två standarder kan du hitta de flesta av IDS leverantörer använder säker kommunikation.
Några av de gamla stordatorklass produkter genom användning av explicita eller mycket svag i krypterad session. Den här funktionen är en ironi, som uttryckligen överföring utsatta för kapning och Man-in-the-middle attack, kommer det att allvarligt skada din övervaka och skydda nätsäkerheten.
En del chefer och andra ansvariga kan kommunicera. Denna kommunikation mellan chefer kan spara bandbredd och minska administrationen. Genom att använda organisationsstruktur kan vara att undvika sådana meddelanden. Till exempel Axent Intruder Alert (99vA) brukade kallas domänhierarkin att organisera agenter.
Revision manager och agent kommunikation
Som revisor bör du kontrollera användarnamn och lösenord, och att inte behålla standardinställningarna. Samtidigt måste du se till att meddelandet bör krypteras och så säker som möjligt.
Hybrid Intrusion Detection
Nätverksbaserad intrångsdetektering produkter och värdbaserad intrång produkter upptäckt är otillräckliga, helt enkelt använda produkten kommer att orsaka en klass för aktiva skyddsåtgärder är inte heltäckande. Men deras fel kompletterar varandra. Om dessa två typer av produkter kan integreras sömlöst användas i nätverket kommer att bli en komplett tredimensionell struktur av aktiva försvarssystem, integrerar två typer av webbaserade och värdbaserad Intrusion Detection System strukturella egenskaper, kan upptäcka nätverksattacker Information finns också från de undantag systemloggen.
Regel
När ansökan brandväggen måste du fastställa regler för IDS. De flesta av IDS-programmet har en fördefinierade regler. Det är bäst att ändra gällande regler och lägga till nya regler för att ge bästa möjliga skydd för nätverket. Sedvanliga regler som fastställts två kategorier: nät missförhållande och nätverk missbruk. Enterprise-klass IDS är vanligtvis hundratals regler kan genomföras.
Olika tillverkare använder några olika terminologi revision. Till exempel eTrust Intrusion Detection med "regler" för att diskutera de regler säkerhetsgranskning och Intruder Alert använder "riktlinjer". Intruder Alert får du lära dig att använda "politik" innebär när mer långtgående tillåter dig att ställa upp regler för individuella strategier. Därför att förstå varje leverantörs produkt, låt dig inte luras av begreppet.
Nätverksövervakning anomali
IDS-programmet kommer att rapportera en överenskommelse nivå anomalier. Om rätt konfigurerad uppmanas du om NetBus, Teardrop eller Smurf attack. Till exempel, om det finns alltför många SYN anslutningarna kommer IDS program varna dig.
Nätverk Missbruk Övervakning
Nätverk missbruk av icke-arbete, bland annat surfa, obehörig installation av tjänster (såsom WAR FTP-tjänster), och spela spel (som Doom eller Quake). Du kan bedriva sin avverkning, blockerar trafiken eller ta initiativ till att sluta. Till exempel kan du använda programmet genomförandet av disken eller som "dummy"-system eller nätverk induktion.
Internet missbruk är en fysisk, operativsystem eller resultatet av långväga attacker. Fysiska attacker bland annat stöld av en hårddisk eller fysisk manipulering av maskinen för att få information. Beprövade operativsystem attacker som försöker få tillgång root-användare. Betyder angriparen fjärrangripare att attackera nätutrustning.
Gemensamma metoder för detektion
Intrusion Detection System detektionsmetoder för vanligt inslag upptäckt, statistiska test och expert. Enligt Ministeriet för offentlig säkerhet i Computer Information System Security Product Quality övervakning och inspektion Center i betänkandet, inhemska censur av produkter för upptäckt av intrång används i 95% av mallen mönstermatchning intrångsskydd produktresumé, övriga 5% av sannolikhet och statistik med hjälp av statistiska test produkter och kunskapsbaserade expertsystem log produkter.
Feature Detection
Huvudnummer upptäcka känd attack eller invasion deterministiska sätt som beskrivs, bildandet av motsvarande händelse modell. När granskningen händelser och sätt invasion känt att matcha, det är alarmerande. Liknande princip med experten systemet. Detektionsmetod och upptäckt av datavirus liknande sätt. Baserat på beskrivningen av det aktuella paketet används flitigt mönstermatchning. Prediktion av den höga noggrannhet upptäckt, men ingen empirisk kunskap av invasionen och attacken kunde ingenting göra.
Statistiska test
Statistiska upptäcka avvikelser modell som används i den statistiska modellen används ofta mätning parametrar: antalet revisionen händelser, intervall, resursförbrukning och så vidare. 5 vanligaste statistiska modeller intrångsdetektering är:
1, drift-modellen förutsätter modellen att undantag kan mätas och jämföras med ett antal fasta mål, kan stationära mål och värdera eller tid den genomsnittliga statistik, till exempel i en kort tid av flera misslyckades login de flesta försöker kommer att attackera lösenordet;
2, varians, variansen beräkningsparametrar, fastställande av konfidensintervall, när det uppmätta värdet överstiger konfidensintervallet sortiment som kan vara onormala,
3, multi-modell, verksamhetsmodell förlängs genom analys av flera parametrar samtidigt för att uppnå upptäckt;
4, Markov process modellen kommer varje typ av händelse definitioner för systemet staten, med statliga övergång matris ska representera det ändras, när en händelse inträffar, eller staten matris i rörelsen av den låga sannolikheten för onormala händelser kan vara ja;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。