入侵檢測與網路審計產品是孿生兄弟嗎?
入侵檢測系統(IDS)是網路安全監控的重要工具,是網路“街道”上的巡警,時刻關注著網路的異常行為;網路審計是使用者行為的記錄,是網路“大樓”內的錄影機,記錄各種行為的過程,作為將來稽核“你”的證據。
我們常見的樓宇監控,在保安值班室內有一個大電視牆,工作人員實時在看的,屬於IDS型別,監控系統需要人的實時參與,發現異常,及時報警、處理。公共場合內銀行的ATM機前有錄影系統,屬於審計型別的產品,當需要檢視是誰在什麼時間進行的操作時,調出時的記錄,進行取證。
從表面上看,兩個產品都採用了網路的“攝像”,對網路資訊抓取並分析,其實兩個產品技術出自“同源”—系統的日誌分析,好象一對孿生的兄弟;“龍生九子,各有不同”,後天環境的不同,兩個產品功能屬性大不相同。
一、 “遺傳”特性
IDS需要對入侵行為及時檢測並做出判斷;審計需要對使用者行為全程記錄,兩者好象“風牛馬不相及”,要說相似,是因為他倆共同的“祖先”,從對主機日誌的分析技術發展起來的,隨著安全目標的不同,一個注重事件的“關聯分析”,一個注重事件的事後重現,雖然後來兩者差距越來越大,但其技術與產品還有很多相似點,下面我們總結了幾點:
1) 產品設計架構
IDS與審計產品都是安全分析類產品,採用“並聯”在網路上的方式,不影響業務的效能。在產品的設計架構上基本相同,分為控制中心、資料庫、控制檯、資料收集引擎幾個部分,採用分散式的部署方式。
2) 資訊獲取
n 從網路上資訊收集方式
典型的方式就是網路鏈路的埠映象(若是光鏈路也可以用分光裝置),就是把正常網路的通訊訊號(資料)複製一份給映象裝置。圖中藍線是IDS的資訊收集,紅線是審計的資訊收集。多對一的映象也可以根據產品的部署情況採用單獨的資料收集引擎,根據流量採用一對一映象,或多對一映象。
n 從主機上資訊收集方式
在主機上收集資訊一般要安裝Agent軟體,也可以通過Syslog、SNMP等通訊協議從主機中獲取。主機IDS技術的早期也是對系統的日誌進行分析,後來發展到對主機的程式、狀態進行監控;主機的系統操作日誌、安全日誌,資料庫上的操作日誌,也同樣是審計系統的資料來源。
3) 業務識別技術
收集到的資訊需要進一步處理,從網路映象來的資料包,首先要還原成通訊協議,定位到具體的通訊連線,也就是我們常說的業務識別技術。IDS與審計的業務識別技術基本是相同的。
無論是分析是否為入侵,還是要記錄使用者的行為過程,識別出使用者具體在做什麼都是必然的。對於標準協議的識別與匹配相對是容易的,但是很多應用採用了加密,或隱藏在其他的通訊協議中,如P2P等,要識別起來就比較麻煩,在流量管理技術中識別一般採用特徵匹配技術,但是應用的特徵多,而且變化快,對於IDS裝置來說,面對的入侵是未知的,可能是通過各種通訊手段的,所以對特徵的識別要求較高一些;而對於審計產品來說,要審計的應用是已知的,系統不提供的服務也沒有必要進行審計,所以對特徵識別需要簡單一些。
二、 “變異”特性
遺傳保留的了兩者的框架基礎,變異產生了不同的產品應用。IDS與審計是為了不同的安全防護目的而設計的,“後天的”變化是必然的,其實他們根本就是不同類別的安全產品,不是“一條路上的人”。IDS裝置作為安全監控的重要手段,審計是事後取證的安全產品。儘管兩個產品長得很像(產品部署形態),但其內部是大不同的:
1、 關鍵安全技術不同
n IDS是監控產品,重點是及時分析出攻擊行為,其關鍵的技術是對攻擊的識別,也就是行為匹配分析技術,無論是使用者行為的匹配,還是統計異常的方法,都要在最短的時間內做出判斷,是攻擊則動作,不是攻擊則放過。為了避免“敵人”漏網,一般對“疑似”的病例一律通告,最終的判斷可以由人來決定。
n 審計產品的重點是日後的重現,不僅是行為動作,還有具體細節,所以審計產品對收集的資料整理後,首要的問題是如何儲存,網路中的流量是龐大的,所以什麼都存的話,不僅量大,而且儲存的時間也緊張,比如公安的監控錄影要求就是存三個月就可以了,但業務的審計可能需要幾年、甚至幾十年,所以如何規範資料,如何儲存是審計產品的一個關鍵。另外對於過程重現來說,在龐大的資料裡搜尋到需要的、具體某人的、特定的行為,在把他重放一遍,這個過程本身就已經比較複雜了。
2、 對收集資訊的關注點不同
同樣是網路映象的資料,IDS在識別出是誰後,關注的是他的行為是否有攻擊意圖,也就是他動作的“合法性”,IDS是面對外來人的,所以更關心進門的“人”是否具有合法的身份,對做的工作是否有合法的授權,至於他如何做的,IDS就不關心了;而審計產品是面對內部人員的,不到具體人的審計意義是不大的,所以要記錄他具體幹了些什麼,審計的是他工作的內容是否合法,不僅知道他怎麼進的大門,而且知道他在房間了都具體做了什麼事情,怎麼做的……
3、 對通訊協議的識別是不同的
IDS檢測外來的攻擊,所以要關注所有可能的入侵隱藏通訊方式,要識別的應用是多方面的,尤其是隱藏在通用協議中的“私有”通訊,應為隱藏自己的真實目的是攻擊者經常用的手段。但審計產品對是企業內部關注的業務行為進行審計,如上網行為、資料庫操作等,即使是第三方的運維人員,其工作方式也可以通過制度等管理手段進行限制為有限的方式,識別的協議有限,但對具體的“動作”要識別的深入,如資料庫審計要審計到具體資料庫操作命令的細節。IDS注重識別的廣度,非標準的通訊協議需要用“特徵”識別;審計產品注重識別的深度,對於加密的通訊,可以在加密的一方端點直接採用非密文審計。
三、 “兄弟聯手”策略
IDS與審計產品都採用了“旁路”的映象方式部署,而且關心的網路鏈路大多也是相同的,所以當客戶分別部署監控與審計安全產品時,經常出現的一個現象是:一個埠要映象給兩個目標埠,分別到不同資料收集引擎,而且這兩個引擎的前期工作原理還非常接近。
在分散式的產品結構中,資料收集引擎與處理中心是分離的,我們可以把IDS與審計產品的資料收集引擎部分功能分離,進而合併兩個引擎為一個。這樣做的好處,其一是減少了業務鏈路映象出來的埠數。其二是減少了網路上引擎裝置的數量。其三是把映象分析的資料引擎通用化,可以減低產品的成本,也方便未來新映象系統的部署。
小結:安全監控與審計是網路安全建設中不可缺少的兩個方面,無論是公安部的資訊系統等級保護要求,還是國家保密局的涉密資訊系統技術要求,監控與審計都是必選項,而且還有細顆粒度的要求。合理、有效地部署監控與審計系統,對於保護你網路的安全是重要的,而且是必要的。
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/77724,如需轉載請自行聯絡原作者
相關文章
- 主流網路產品 入侵檢測產品的綜合比較(轉)
- 孿生兄弟(Prototype) (轉)
- 對網路中安全審計產品的理解
- 計算機網路之網路安全基礎-防火牆與入侵檢測系統計算機網路防火牆
- 網路入侵檢測規避工具fragrouter
- 網路安全筆記-入侵檢測系統筆記
- 如果香奈兒是網際網路產品設計師
- V$動態效能表中的孿生兄弟~~
- 中國將成立網路安全審查委員會未審產品不得采購
- IDS(入侵檢測)要“退休”了嗎?
- 我國將成立網路安全審查委員會:並非所有網路產品都需審查
- 免費企業網路入侵檢測工具(IDS)
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- CSS3 的一對孿生兄弟之 background & maskCSSS3
- 圖撲軟體攜數字孿生產品與解決方案亮相高交會
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 啟明星辰天玥資料庫安全審計產品評測資料庫
- 螞蟻集團下架網際網路存款產品:網際網路金融是天使還是魔鬼
- 測評丨NXP LS系列產品網路效能測試
- 淺談大型網際網路企業入侵檢測及防護策略
- 郭子威:什麼是網際網路產品經理
- 網際網路商業模式的關鍵:打造核心產品與生態圈平臺模式
- 什麼是數字孿生,為什麼數字孿生對物聯網很重要?
- 移動網際網路產品設計原則
- 如何設計出“有趣”的網際網路產品?
- 深度學習技術在網路入侵檢測中的應用深度學習
- 網路安全學原始碼審計嗎?怎樣才能學好網路安全原始碼
- 淺談大型網際網路的企業入侵檢測及防護策略
- 什麼是頂尖的網際網路產品經理?
- 什麼是頂尖的網際網路產品經理
- 入侵檢測技術,雞肋還是機會?
- 網際網路產品經理的三大煩惱,你有嗎?
- 所謂網際網路產品
- 為網際網路原住民設計產品的思考
- 基於snort、barnyard2和base的 網路入侵檢測系統的部署與應用
- 機器視覺產品尺寸測量與外觀缺陷檢測應用視覺
- 入侵檢測系統(IDS)的測試與評估
- 網際網路存款產品為何被禁:如何正確看待網際網路理財產品