CTOCIO IT专家网

天极传媒 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
IT专家网搜索

网络安全,安全,网络安全设备,信息安全产品,网络安全新闻,信息安全市场分析,黑客攻防,防黑反黑技巧,黑客,网络安全技术,网络安全方案,病毒播报,最新病毒库,攻防技巧,入侵渗透,新闻,思科,Juniper,天融信,瑞星,金山,江民,卡巴斯基,赛门铁克, 趋势,绿盟科技,联想网御,MCAFEE,安氏,冰峰网络,网络入侵,木马,病毒,病毒分析,木马分析,样本分析,木马样本分析,病毒样本分析,杀毒软件

您现在的位置: IT专家网 > 安全子站 > 评论分析

入侵检测与网络审计产品是孪生兄弟吗?

作者: Jack zhai,  出处:Jack zhai's blog, 责任编辑: 郭秋爽, 
2008-08-07 00:00
  入侵检测系统(IDS)是网络安全监控的重要工具,网络审计是用户行为的记录,表面上看好象一对孪生的兄弟,但是后天环境的不同,两个产品功能属性大不相同。

  入侵检测系统(IDS)是网络安全监控的重要工具,是网络“街道”上的巡警,时刻关注着网络的异常行为;网络审计是用户行为的记录,是网络“大楼”内的录像机,记录各种行为的过程,作为将来审核“你”的证据。

  我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常,及时报警、处理。公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看是谁在什么时间进行的操作时,调出时的记录,进行取证。

  从表面上看,两个产品都采用了网络的“摄像”,对网络信息抓取并分析,其实两个产品技术出自“同源”---系统的日志分析,好象一对孪生的兄弟;“龙生九子,各有不同”,后天环境的不同,两个产品功能属性大不相同。

  一、 “遗传”特性

  IDS需要对入侵行为及时检测并做出判断;审计需要对用户行为全程记录,两者好象“风牛马不相及”,要说相似,是因为他俩共同的“祖先”,从对主机日志的分析技术发展起来的,随着安全目标的不同,一个注重事件的“关联分析”,一个注重事件的事后重现,虽然后来两者差距越来越大,但其技术与产品还有很多相似点,下面我们总结了几点:

  1) 产品设计架构

  IDS审计产品都是安全分析类产品,采用“并联”在网络上的方式,不影响业务的性能。在产品的设计架构上基本相同,分为控制中心、数据库、控制台、数据收集引擎几个部分,采用分布式的部署方式。

  

  2) 信息获取

  从网络上信息收集方式

  典型的方式就是网络链路的端口镜像(若是光链路也可以用分光设备),就是把正常网络的通讯信号(数据)复制一份给镜像设备。图中蓝线是IDS的信息收集,红线是审计的信息收集。多对一的镜像也可以根据产品的部署情况采用单独的数据收集引擎,根据流量采用一对一镜像,或多对一镜像。

  

  从主机上信息收集方式

  在主机上收集信息一般要安装Agent软件,也可以通过Syslog、SNMP等通讯协议从主机中获取。主机IDS技术的早期也是对系统的日志进行分析,后来发展到对主机的进程、状态进行监控;主机的系统操作日志、安全日志,数据库上的操作日志,也同样是审计系统的数据来源。

  3) 业务识别技术

  收集到的信息需要进一步处理,从网络镜像来的数据包,首先要还原成通讯协议,定位到具体的通讯连接,也就是我们常说的业务识别技术。IDS与审计的业务识别技术基本是相同的。

  

  无论是分析是否为入侵,还是要记录用户的行为过程,识别出用户具体在做什么都是必然的。对于标准协议的识别与匹配相对是容易的,但是很多应用采用了加密,或隐藏在其他的通讯协议中,如P2P等,要识别起来就比较麻烦,在流量管理技术中识别一般采用特征匹配技术,但是应用的特征多,而且变化快,对于IDS设备来说,面对的入侵是未知的,可能是通过各种通讯手段的,所以对特征的识别要求较高一些;而对于审计产品来说,要审计的应用是已知的,系统不提供的服务也没有必要进行审计,所以对特征识别需要简单一些。

  

共2页。 1 2 :

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。
  • 周排行榜
  • 月排行榜

邮件订阅


天极服务 | 关于我们 | 网站律师 | 加入我们 | 联系我们 | 广告业务 | 友情链接 | 我要挑错
All Rights Reserved, Copyright 2004-2008, Ctocio.com.cn
渝ICP证B2-20030003号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i