入侵检测与网络审计产品的关系

入侵检测与网络审计产品是孪生兄弟吗?

入侵检测系统(IDS)是网络安全监控的重要工具,是网络“街道”上的巡警,时刻关注着网络的异常行为;网络审计是用户行为的记录,是网络“大楼”内的录像机,记录各种行为的过程,作为将来审核“你”的证据。

我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常,及时报警、处理。公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看是谁在什么时间进行的操作时,调出时的记录,进行取证。

从表面上看,两个产品都采用了网络的“摄像”,对网络信息抓取并分析,其实两个产品技术出自“同源”---系统的日志分析,好象一对孪生的兄弟;“龙生九子,各有不同”,后天环境的不同,两个产品功能属性大不相同。

一、“遗传”特性

IDS需要对入侵行为及时检测并做出判断;审计需要对用户行为全程记录,两者好象“风牛马不相及”,要说相似,是因为他俩共同的“祖先”,从对主机日志的分析技术发展起来的,随着安全目标的不同,一个注重事件的“关联分析”,一个注重事件的事后重现,虽然后来两者差距越来越大,但其技术与产品还有很多相似点,下面我们总结了几点:

1) 产品设计架构

IDS与审计产品都是安全分析类产品,采用“并联”在网络上的方式,不影响业务的性能。在产品的设计架构上基本相同,分为控制中心、数据库、控制台、数据收集引擎几个部分,采用分布式的部署方式。

本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/

2) 信息获取

n   从网络上信息收集方式

典型的方式就是网络链路的端口镜像(若是光链路也可以用分光设备),就是把正常网络的通讯信号(数据)复制一份给镜像设备。图中蓝线是IDS的信息收集,红线是审计的信息收集。多对一的镜像也可以根据产品的部署情况采用单独的数据收集引擎,根据流量采用一对一镜像,或多对一镜像。

n  从主机上信息收集方式

在主机上收集信息一般要安装Agent软件,也可以通过Syslog、SNMP等通讯协议从主机中获取。主机IDS技术的早期也是对系统的日志进行分析,后来发展到对主机的进程、状态进行监控;主机的系统操作日志、安全日志,数据库上的操作日志,也同样是审计系统的数据来源。

时间: 2024-12-14 10:02:54

入侵检测与网络审计产品的关系的相关文章

snort+base搭建IDS入侵检测系统

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有 三种工作模式:嗅探器.数据包记录器.网络入侵检测系统模式.嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数 据包记录到硬盘上.网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作.网络入侵检测系统模式是最复杂的,而且是可 配置的. Snort可以用来监测各种数据包如端口扫描等之外

入侵检测及网络安全发展技术探讨_网络冲浪

随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求.作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计.监视.进攻识别和响应),提高了信息安全基础结构的完整性. 一.入侵检测系统(IDS)诠释 IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应. 在本质上,入侵检

Suricata 1.0.4发布 网络入侵检测和防护引擎

SuricataSuricata是一个网络入侵检测和防护引擎,由开放信息安全基金会及其支持的厂商开发.该引擎是多线程的,内置支持IPV6.可加载现有的Snort规则和签名,支持 Barnyard 和 Barnyard2 工具. Suricata 1.0 改进内容: 1. 增加对标签关键字的支持:2. 支持 UDP 的 DCERPC:3. 重复的签名检测:4. 提升对 CUDA 的支持.URI检测:5. 提升了稳定性和性能. Suricata 1.0.4更新日志: - LibHTP updated

Snort 2.9.1发布 网络入侵检测和预防软件

Snort是一个开源的网络入侵检测和预防软件.它使用多种方法进行检测,包括以规则为基础的检测,异常检测,启发式分析http://www.aliyun.com/zixun/aggregation/10374.html">网络流量进行检测.其工作模式包括:嗅探器.数据包记录器.网络入侵检测系统. 嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数据包记录到硬盘上.网路入侵检测模式是最复杂的,而且是可配置的.我们可以让snort分析网络数据流以匹配用户定义的一

Suricata 1.3beta2发布 网络入侵检测和防护引擎

SuricataSuricata 是一款网络入侵检测和防护引擎,由开源信息安全基金会及其支持的厂商开发.该引擎支持多线程和内置IPV6.可加载现有的Snort软件规则和签名,并且支持 Barnyard 和 Barnyard2 工具. Suricata 1.3beta2该版本增加了一个规则关键字匹配的大型MD5黑名单文件,提高性能,支持PF_RING5.4.x,并修复了各种错误. 软件信息:http://www.openinfosecfoundation.org/ 下载地址:http://www.

Snort 2.9.2.3发布 网络入侵检测和预防软件

Snort 是一款开源的网络入侵检测和预防软件.它使用多种方法进行检测,包括以规则为基础的检测,异常检测,启发式分析http://www.aliyun.com/zixun/aggregation/10374.html">网络流量进行检测.其工作模式包括:嗅探器.数据包记录器.网络入侵检测系统. 其嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数据包记录到硬盘上.网路入侵检测模式是最复杂的,而且是可配置的.我们可以让snort分析网络数据流以匹配用户定义

Suricata 1.3beta1发布 网络入侵检测和防护引擎

SuricataSuricata 是一款网络入侵检测和防护引擎,由开源信息安全基金会及其支持的厂商开发.该引擎支持多线程和内置IPV6.可加载现有的Snort软件规则和签名,并且支持 Barnyard 和 Barnyard2 工具. Suricata 1.3beta1该版本添加了TLS信号交换解码器和检测关键字.napatech采集卡支持.增加了文件的MD5计算,文件日志. HTTP CONNECT处理进行了改进.http://www.aliyun.com/zixun/aggregation/9

Suricata 1.0.5发布 网络入侵检测和防护引擎

SuricataSuricata是一款网络入侵检测和防护引擎,由开源信息安全基金会及其支持的厂商开发.该引擎支持多线程和内置IPV6.可加载现有的Snort软件规则和签名,并且支持 Barnyard 和 Barnyard2 工具. Suricata 1.0.5 版本修复了流动引擎的错误. Coverity的源代码分析仪发现的各种问题也得到了修复. 下载地址:http://www.openinfosecfoundation.org/download/suricata-1.0.5.tar.gz a

网络入侵检测初步探测方法

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透, 但是,系统安全是一个连续的过程,随着新漏洞的出现和服务器应用的变化,系统的安全状况也在不断变化着:同时由于攻防是矛盾的统一体,道消魔长和魔消道长也在不断的转换中,因此,再高明的http://www.aliyun.com/zixun/aggregation/13879.html">系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵. 所以,安全配置服务器并不是安全工作的结束,相反却是漫长乏味的安全工作的开始,本文