入侵检测与网络审计产品是孪生兄弟吗?

本文涉及的产品
云防火墙,500元 1000GB
日志服务 SLS,月写入数据量 50GB 1个月
简介:
入侵检测系统(IDS)是网络安全监控的重要工具,是网络“街道”上的巡警,时刻关注着网络的异常行为;网络审计是用户行为的记录,是网络“大楼”内的录像机,记录各种行为的过程,作为将来审核“你”的证据。
我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常,及时报警、处理。公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看是谁在什么时间进行的操作时,调出时的记录,进行取证。
从表面上看,两个产品都采用了网络的“摄像”,对网络信息抓取并分析,其实两个产品技术出自“同源”---系统的日志分析,好象一对孪生的兄弟;“龙生九子,各有不同”,后天环境的不同,两个产品功能属性大不相同。
 
一、               “遗传”特性
IDS需要对入侵行为及时检测并做出判断;审计需要对用户行为全程记录,两者好象“风牛马不相及”,要说相似,是因为他俩共同的“祖先”,从对主机日志的分析技术发展起来的,随着安全目标的不同,一个注重事件的“关联分析”,一个注重事件的事后重现,虽然后来两者差距越来越大,但其技术与产品还有很多相似点,下面我们总结了几点:
1)                产品设计架构
IDS与审计产品都是安全分析类产品,采用“并联”在网络上的方式,不影响业务的性能。在产品的设计架构上基本相同,分为控制中心、数据库、控制台、数据收集引擎几个部分,采用分布式的部署方式。
2)                信息获取
n                 从网络上信息收集方式
典型的方式就是网络链路的端口镜像(若是光链路也可以用分光设备),就是把正常网络的通讯信号(数据)复制一份给镜像设备。图中蓝线是IDS的信息收集,红线是审计的信息收集。多对一的镜像也可以根据产品的部署情况采用单独的数据收集引擎,根据流量采用一对一镜像,或多对一镜像。
n   从主机上信息收集方式
在主机上收集信息一般要安装Agent软件,也可以通过SyslogSNMP等通讯协议从主机中获取。主机IDS技术的早期也是对系统的日志进行分析,后来发展到对主机的进程、状态进行监控;主机的系统操作日志、安全日志,数据库上的操作日志,也同样是审计系统的数据来源。
3)         业务识别技术
收集到的信息需要进一步处理,从网络镜像来的数据包,首先要还原成通讯协议,定位到具体的通讯连接,也就是我们常说的业务识别技术。IDS与审计的业务识别技术基本是相同的。
无论是分析是否为入侵,还是要记录用户的行为过程,识别出用户具体在做什么都是必然的。对于标准协议的识别与匹配相对是容易的,但是很多应用采用了加密,或隐藏在其他的通讯协议中,如P2P等,要识别起来就比较麻烦,在流量管理技术中识别一般采用特征匹配技术,但是应用的特征多,而且变化快,对于IDS设备来说,面对的入侵是未知的,可能是通过各种通讯手段的,所以对特征的识别要求较高一些;而对于审计产品来说,要审计的应用是已知的,系统不提供的服务也没有必要进行审计,所以对特征识别需要简单一些。
 
二、               “变异”特性
遗传保留的了两者的框架基础,变异产生了不同的产品应用。IDS与审计是为了不同的安全防护目的而设计的,“后天的”变化是必然的,其实他们根本就是不同类别的安全产品,不是“一条路上的人”。IDS设备作为安全监控的重要手段,审计是事后取证的安全产品。尽管两个产品长得很像(产品部署形态),但其内部是大不同的:
1、   关键安全技术不同
n          IDS是监控产品,重点是及时分析出攻击行为,其关键的技术是对攻击的识别,也就是行为匹配分析技术,无论是用户行为的匹配,还是统计异常的方法,都要在最短的时间内做出判断,是攻击则动作,不是攻击则放过。为了避免“敌人”漏网,一般对“疑似”的病例一律通告,最终的判断可以由人来决定。
n          审计产品的重点是日后的重现,不仅是行为动作,还有具体细节,所以审计产品对收集的数据整理后,首要的问题是如何存储,网络中的流量是庞大的,所以什么都存的话,不仅量大,而且存储的时间也紧张,比如公安的监控录像要求就是存三个月就可以了,但业务的审计可能需要几年、甚至几十年,所以如何规范数据,如何存储是审计产品的一个关键。另外对于过程重现来说,在庞大的数据里搜寻到需要的、具体某人的、特定的行为,在把他重放一遍,这个过程本身就已经比较复杂了。
2、   对收集信息的关注点不同
同样是网络镜像的数据,IDS在识别出是谁后,关注的是他的行为是否有攻击意图,也就是他动作的“合法性”,IDS是面对外来人的,所以更关心进门的“人”是否具有合法的身份,对做的工作是否有合法的授权,至于他如何做的,IDS就不关心了;而审计产品是面对内部人员的,不到具体人的审计意义是不大的,所以要记录他具体干了些什么,审计的是他工作的内容是否合法,不仅知道他怎么进的大门,而且知道他在房间了都具体做了什么事情,怎么做的……
3、   对通讯协议的识别是不同的
IDS检测外来的攻击,所以要关注所有可能的入侵隐藏通讯方式,要识别的应用是多方面的,尤其是隐藏在通用协议中的“私有”通讯,应为隐藏自己的真实目的是攻击者经常用的手段。但审计产品对是企业内部关注的业务行为进行审计,如上网行为、数据库操作等,即使是第三方的运维人员,其工作方式也可以通过制度等管理手段进行限制为有限的方式,识别的协议有限,但对具体的“动作”要识别的深入,如数据库审计要审计到具体数据库操作命令的细节。IDS注重识别的广度,非标准的通讯协议需要用“特征”识别;审计产品注重识别的深度,对于加密的通讯,可以在加密的一方端点直接采用非密文审计。
 
三、               “兄弟联手”策略
IDS与审计产品都采用了“旁路”的镜像方式部署,而且关心的网络链路大多也是相同的,所以当客户分别部署监控与审计安全产品时,经常出现的一个现象是:一个端口要镜像给两个目标端口,分别到不同数据收集引擎,而且这两个引擎的前期工作原理还非常接近。
在分布式的产品结构中,数据收集引擎与处理中心是分离的,我们可以把IDS与审计产品的数据收集引擎部分功能分离,进而合并两个引擎为一个。这样做的好处,其一是减少了业务链路镜像出来的端口数。其二是减少了网络上引擎设备的数量。其三是把镜像分析的数据引擎通用化,可以减低产品的成本,也方便未来新镜像系统的部署。
小结:安全监控与审计是网络安全建设中不可缺少的两个方面,无论是公安部的信息系统等级保护要求,还是国家保密局的涉密信息系统技术要求,监控与审计都是必选项,而且还有细颗粒度的要求。合理、有效地部署监控与审计系统,对于保护你网络的安全是重要的,而且是必要的。




本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/77724,如需转载请自行联系原作者
目录
相关文章
|
2月前
|
SQL 安全 算法
网络安全与信息安全的守护之道:漏洞防护、加密技术与安全意识提升
【9月更文挑战第21天】在数字化浪潮中,网络安全与信息安全成为维系社会稳定和个体隐私的重要屏障。本文将深入探讨网络安全中的常见漏洞,分析其成因及防范措施;介绍加密技术的基本原理及其在信息保护中的应用;强调安全意识的重要性,并通过具体案例分享如何在日常生活中提升个人和企业的安全防御能力。文章旨在为读者提供一套综合性的网络安全防护策略,以应对日益复杂的网络威胁。
|
3月前
|
消息中间件 存储 Serverless
函数计算产品使用问题之怎么访问网络附加存储(NAS)存储模型文件
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
3月前
|
SQL 安全 测试技术
网络安全的屏障与钥匙:漏洞防护与加密技术解析软件测试的艺术:探索性测试的力量
【8月更文挑战第27天】在数字时代的海洋中,网络安全是保护我们数据资产的灯塔和堤坝。本文将深入浅出地探讨网络安全领域的关键要素——安全漏洞、加密技术以及不可或缺的安全意识。通过实际案例分析,我们将了解如何识别和修补潜在的安全漏洞,掌握现代加密技术的工作原理,并培养起一道坚固的安全防线。文章旨在为读者提供实用的知识和技能,以便在日益复杂的网络环境中保持警惕,确保个人及组织信息的安全。
|
3月前
|
SQL 安全 算法
网络安全的盾牌与矛:漏洞防护与加密技术解析
【8月更文挑战第31天】在数字时代的浪潮中,网络安全成为了保护数据资产不可或缺的防线。本文将深入探讨网络安全中的两大核心议题:网络漏洞和加密技术。我们将从漏洞的类型、成因以及防御策略出发,进而分析加密技术的基本原理、实际应用和面临的挑战。文章旨在提升读者的安全意识,同时提供实用的代码示例来加深理解。通过深入浅出的方式,我们希望能够激发读者对网络安全重要性的认识,并鼓励采取积极措施以保障个人信息和资产安全。
|
8天前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
38 3
|
8天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
25 2
|
16天前
|
SQL 安全 算法
网络安全的屏障与钥匙:漏洞防护与加密技术解析
【10月更文挑战第31天】在数字世界的海洋中,网络安全是航船的坚固屏障,而信息安全则是守护宝藏的金钥匙。本文将深入探讨网络安全的薄弱环节——漏洞,以及如何通过加密技术加固这道屏障。从常见网络漏洞的类型到最新的加密算法,我们不仅提供理论知识,还将分享实用的安全实践技巧,帮助读者构建起一道更加坚不可摧的防线。
24 1
|
2月前
|
安全 网络安全 量子技术
探索网络安全世界:从漏洞防护到加密技术与安全意识
本文旨在深入探讨网络安全与信息安全的关键方面,包括网络安全漏洞、加密技术以及安全意识的重要性。通过分析这些要素,我们将揭示如何构建一个更加安全的网络环境,并强调个人和组织在维护网络安全中的角色。本文不仅提供技术性的见解,还强调了普及安全意识的必要性,旨在为读者提供一个全面的网络安全知识框架。
45 3
|
2月前
|
SQL 安全 网络安全
网络安全的盾牌与矛:漏洞防护与加密技术解析
【9月更文挑战第20天】在数字化时代的浪潮中,网络安全成了我们不得不面对的严峻话题。本文将深入探讨网络安全中的两个核心要素——漏洞防护和加密技术,以及它们如何共同构建起保护信息安全的坚固防线。通过分析最新的网络攻击案例、介绍常见的安全漏洞类型、阐述加密技术的原理及其应用,并强调安全意识的重要性,本文旨在为读者提供一场关于网络安全知识的精彩分享,帮助大家更好地理解并应对日益复杂的网络威胁。
52 7
|
2月前
|
SQL 安全 网络安全
网络安全的屏障与钥匙:漏洞防护与加密技术解析
【9月更文挑战第22天】在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私与企业资产的重要防线。本文将深入探讨网络安全漏洞的成因与防范措施,分析加密技术在信息安全中的应用,并强调提升安全意识的必要性。通过实例分析,我们将了解如何构建坚固的网络防御体系,以及在日益复杂的网络环境中保持警觉的重要性。

热门文章

最新文章

下一篇
无影云桌面