用UDS技术加强网络安全管理

Internet的飞速发展,为信息的传播和利用带来了极大的方便,同时也使人类社会面临着信息安全的巨大挑战。为了应对日益严重的信息安全问题,防火墙、入侵检测、安全审计、流量监控等安全产品逐步得到推广和应用。这些安全产品从一定程度上缓解了日益紧迫的安全问题,但如何集成各个产品的优点,更好地发挥安全产品的作用,是网络管理人员面临的新问题。

概括起来,在目前的网络安全管理中存在以下问题:

1.各安全设备往往是孤立运行的,其报警信息之间难以关联,使得管理员缺乏对网络整体安全状况的认识。

2.安全事件发生后,无法快速确定安全事件的根源,网络业务恢复时间长。

3.对某些特定安全事件缺乏准确有效的检测方法,如DDoS攻击,蠕虫病毒等。

4.多种网络设备之间的串接,或者在交换机上进行多重镜像实现包捕获,会造成网络运行性能下降。

将入侵检测、安全审计、异常流量三大功能进行集成,采用一体化安全检测(Unified Detection System ,简称UDS)技术,能够有效地解决上述问题,与分别采用各类技术相比,具有七大方面的优势。

提高管理员安全决策的准确性

多种检测手段的集成,可以使用户从不同方面更加全面地了解网络安全状况。不同的旁路检测产品审查的重点不相同,当发生安全违规事件时,通过三种工具之间的相互印证和关联分析,可以提高管理员决策的准确性。例如:流量显示网络中突然产生很高的TCP流量,通过IDS报警可以看出,是P2P软件下载造成的,通过审计系统则可以看到更详细的信息,比如下载的文件名,文件类型,大小等等。有利于管理员监控网络资源是否被合法使用。

实现攻击源和攻击目标的快速定位

以Internet蠕虫传播为例,被蠕虫感染的主机的网络行为会不同于正常主机,这时利用审计功能可以快速发现异常主机,结合IDS的攻击报警即可确定感染源。例如:对于超长数据的缓冲区溢出,IDS可以进行预警,管理员再通过审计模块察看具体的超长数据内容,可以准确判断一次报警是否为攻击,更可以为追踪入侵者提供有力证据。

实现对特定安全事件的全面检测

对DDoS攻击和未知蠕虫,IDS往往难以实现有效检测,但二者均会引起网络流量的显著异常。UDS由于在IDS的基础上集成了流量检测功能,弥补了IDS的先天不足,带来了更全面的检测能力。例如:一次DDoS或蠕虫攻击,会让流量检测模块显示某一协议以及某一应用产生大量的流量,而结合IDS模块则可以看到流量类型等更具体的攻击信息。流量模块提供了攻击所产生的网络流量,管理员依此来评估具体损失,IDS模块可以确定具体的攻击类型,并且进行IP定位,用来查找网络安全隐患。

提高用户的投资性价比

在一次包捕获的基础上完成多重分析,与同时采用多台设备相比,提高了处理的效率,减少了设备串连时发生故障的可能,也降低了多重镜像对网络性能的影响。此外,当用一种综合产品取代多种分离产品,在满足功能和性能要求的同时,其价格优势是非常明显的,可有效的提高用户的投资性价比。

方便部署

将旁路检测功能统一到一个设备上来实现,有利于产品的安装实施和部署。旁路产品通常的接入方式是通过交换机配置镜像或利用串接TAP接入,需要在交换机上设置多个镜像端口或者串接多个TAP。不但会有多重镜像造成交换机性能下降的情况出现,而且还会面临部分交换机不支持多重镜像的尴尬,并且串接多个TAP,也容易造成单点故障。

集中管理,综合分析

旁路检测的典型流程是将网络上的数据报文进行全面捕获,在保证不丢包的状态下对数据报文进行分析,根据不同的预定义规则形成安全事件、告警或统计数据。因此在保持底层技术上统一、上层实现多样化的UDS检测系统则有效的扩展了检测范围,可以实现多样化的综合检测需求。同时,在未来的产品架构上也具有很好的扩展性。例如:系统对多种检测的结果进行交叉关联,集中检测可以安全事件为单位进行报警,从而为管理员提供一个清晰的层次。一次DDoS攻击事件中,异常流量模块将划分出时间范围,IDS模块提供详细的攻击类型信息,流量模块统计所产生的网络流量,不但可以计算此次安全事件的攻击强度,还可以为日后计算损失提供依据,而审计模块可以记录该攻击行为所影响的具体的应用服务,可以为日后追踪攻击源头提供证据。

对安全事件深入分析、取证记录,可追踪溯源

异常流量会话录播。通过异常流量的检测结果分析,当发现某种协议类型的流量异常时,启动UDS的会话录播功能,可方便安全管理人员对异常流量的审计。例如:对于未知蠕虫攻击,异常流量系统可以预警,但是因为此蠕虫为突发,异常流量系统就在第一时间内预警,所以还尚无机构为此命名,UDS系统也无法报警出具体的蠕虫名字,这样管理员可以通过系统自动记录下会话数据流,日后再确认具体蠕虫名称。

IDS日志与安全审计日志、异常流量报警日志的交叉报表功能。被蠕虫感染或远程控制的主机,其流量分布、行为表现会不同于正常主机。通过审计或异常流量的日志发现异常主机,可以使管理员在处理IDS模块的报警时更加关注那些异常主机,提高分析的准确性。例如:对于一次安全事件,如蠕虫攻击,交叉报表可以给管理员提供一个很清晰的层次,可以通过异常流量模块来确认一次安全事件,IDS模块则提供了安全事件的具体攻击类型、蠕虫名称,流量模块可以提供安全事件产生的数据量,审计模块为确认并追踪攻击源以及受害系统提供了依据。

IDS与主机资源信息的关联。在各种安全设备上报的攻击事件中,并非每次攻击都会对目标网络的安全构成威胁。以一次典型的针对IIS的缓冲区溢出攻击为例,如果目标主机不可达,或者其操作系统不是Windows系统、没有运行IIS服务、不存在相关的漏洞,都会导致攻击不成功。为此可以将IDS的报警与主机资源信息进行关联,判断该报警的真实性,降低IDS的误报率。UDS的精确报警功能从一定程度上解决了该类问题,如果能进一步关联漏洞扫描的结果,将会进一步增强报警的准确性。例如:入侵者对一台Linux系统发动一次unicode攻击,其实这个攻击是针对于Windows平台的,这次攻击并不能成功,如果运行环境中数据流量较大,报警较多,管理员则可以通过降低策略中的报警强度,过滤掉这些入侵企图,而记录真正有效的、有威胁的攻击。

基于以上七大优势可以预计,一体化安全检测技术和产品将得到越来越多的关注和应用。

时间: 2024-09-17 03:46:52

用UDS技术加强网络安全管理的相关文章

企业网络安全管理维护之探析

  今很多企业都建设了企业网并通过各种渠道接入了Internet,企业的运作越来越融人计算机网络,但随之产生的网络安全问题也日渐明显地摆在了网络管理员面前. 对于网络管理者来说,网络的安全管理直接关系到企业工作的稳定和正常开展.而企业对安全性的要求有其自身的特殊性,除了传统意义上的信息安全以外,还应提高对病毒.恶意攻击以及物理设备的安全防范. 本文根据本人在企业任职多年网络管理员的实际,侧重谈了下如何加强对企业网络的安全管理.主要分别从企业内部网络安全管理与病毒防范.企业服务器的安全.基于VLA

认证技术下网络数据库安全机制研究应用分析

[硅谷网11月5日文]据<硅谷>杂志2012年第16期刊文称,网络数据库安全机制就是为维护网络信息的清洁和安全,认证技术下的网络数据库的安全机制能够为我们保护想要保护的信息资源,网络是一个复杂的市场,这个市场必须要有一个专门的安全机制来对它进行保护和维护才能顺利的运行,而认证技术下的网络数据库安全机制就是为实现这一目标而设立的. 下文就是针对网络数据库展开的研究,讲述了网络认证技术:网络数据库安全机制的概念:网络数据库各层次的安全机制:网络数据库的应用概念:以及认证技术下的网络数据库的安全机制

网络安全管理的“四抓”之法

在第十三届中国信息港论坛"大数据与网络安全"专题峰会上,江苏省通信管理局局长苏少林分享了江苏智慧城市发展过程中的网络安全管理经验. 2014年10月,江苏省政府发布<关于推进智慧江苏建设的实施意见>,提出智慧江苏建设分两步走.即2016年建成5个全国有影响力的区,分别是智慧基础设施先行区.产业转型升级拓展区.智慧政务运行高效区.智慧服务业态创新区.新兴智慧产业集聚区:2020年建成具有江苏特色.跻身国际一流的智慧城市群,实现新型城镇化和城乡一体化智慧发展,成为新型工业化.信

网络安全管理体系亟待完善 超过1/4企业使用付费安全软件

记者今天从中国互联网络信息中心获悉,我国企业已具备基本的网络安全防护意识:91.4%企业安装了杀毒软件.防火墙软件,其中超过1/4使用了付费安全软件,并有8.9%企业部署了网络安全硬件防护系统. 17.1%部署了软硬件集成防护系统. 据中国互联网络信息中心相关负责人介绍,网络安全已经成为中国互联网发展的重大课题.一方面,先进技术.创新应用在推动互联网行业快速发展的同时, 也会被用来危害网络安全. 除了传统的病毒木马.钓鱼仿冒网站.系统漏洞等,针对移动互联网.工业互联网以及大型服务器.智能设备等的

为什么说企业网络安全管理无处不在?

此文章主要讲述的是企业网络安全管理无处不在,如今随着互联网在各个领域的广泛使用,企事业单位信息化建设的逐步的趋于健全,网络管理从投入使用进入了运行维护阶段.网络管理包括对硬件.软件和人力的使用.综合与协调.以便对网络资源进行监视.测试.配置.分析.评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能.服务质量等.网络安全是指网络系统的硬件.软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏.更改.泄露,系统连续可靠正常地运行,网络服务不中断. 网络安全从其本质上来讲

基于JSP技术的网络教学平台设计

js|设计|网络 摘要 网络教学平台是面向教师和学生的网络教学系统,采用JSP+XML+SQL Server开发,对该平台的体系结构.功能进行了详细的分析,并介绍了设计中所采用的关键技术. 关键词 网络;三层结构;教学平台;JSP;流媒体 引言 随着计算机技术的飞速发展,信息网络已成为社会发展的重要保证.如何以网络为纽带快速.高效.方便地实现知识传递,以现代化手段促进教学改革,将传统的课堂教学转变为课堂+电脑+网络课堂+internet等多种学习方式,是教育工作者应当为之努力的方向.基于JSP技

SEO技术在网络营销中的重要性

21世纪,网络世界深入人心,人类的生活离不来网络!做SEO这么长的时间以来,孙旸杰没有发表客观谈论SEO的文章,开始的时候是担心自己写不好,担心笔下的文字玷污SEO行业,后来在慢慢的理论积累和实践操作中,对于SEO行业有了深刻的认知,同样也慎重的思考了很久,今天决定给介绍一下: 随着建立互联网站的成本越来越低,各类企业乃至个人都能够拥有自己的网站,大家有了网站更多的目的是想展示给网民,这就需要学会在互联网络进行推广,简称"网络推广"!网络推广的方法很多,大部分网站都是需要投入大量的人力

防火墙运用 重新掌权网络安全管理

从理论上讲,防火墙是一个神奇的安全集中器,是外部世界和受保护的网络之间高性能的网关.理想情况下,它是一个易于控制的单点配置,允许你部署多个最佳安全技术.并且,它永远不会让你在晚上睡觉时翻来覆去地想它的配置是否存在漏洞,而导致企业数据泄露.但网络安全管理的现实并非如此:其实我们的防火墙不可能永远保持"刀枪不入"的状态. 很少有安全管理员能够"贯穿"防火墙的整个生命周期,他们可能没有参与配置或者设置初始规则,或者没有参与政策管理.审批和记录,也可能是没有参与政策迁移到后

Oracle9i的全文检索技术开发者网络Oracle_oracle

正在看的ORACLE教程是:Oracle9i的全文检索技术开发者网络Oracle.介绍:细处着手,巧处用功.高手和菜鸟之间的差别就是:高手什么都知道,菜鸟知道一些.电脑小技巧收集最新奇招高招,让你轻松踏上高手之路. >> 摘要 全文检索技术是智能信息管理的关键技术之一,Oracle Text作为Oracle9i的一个组件,提供了强大的全文检索功能,用Oracle9i做后台数据库,就可以充分利用其全文检索技术,构建复杂的大型文档管理系统.本文主要介绍了Oracle Text的体系结构及其使用.