什么时候需要入侵检测
什么时候才需要入侵检测呢?
既然你知道了安全问题会导致攻击,以及攻击者的一些攻击的动机,并且还了解了一些攻击手段,那么有必要对您的企业网络做一次评估,看看是否需要配置入侵检测系统。确认您是否需要IDS最快捷的方法是按照下面的检查表从头到尾为自己的网络做一次评估。
1:您是否有掌握在不正当的人手上,可能会导致对你产生威胁,或者可能对您的客户和顾客造成经济或私人损失的数据?
顾客银行、信用卡或者其他私人信息,员工的电话录音,这些信息都应该受到法律保护。
2:您是否有一些珍贵数据,一旦被偷窃就会影响到您公司的运作或者信誉的?
这是一个很简单的评估,但是列出来的都是一些可能导致严重后果并使您需要使用入侵检测系统的安全隐患。
入侵检测系统是如何工作的呢?
一般而言,入侵检测系统通过搜集信息并分析一些反常或者有问题的日志来工作。历史数据稍后将被用来阻止、抢占、控制或者调整网路通信和计算机访问。
为了了解入侵检测系统保护系统安全的一些步骤,我们这里提供了一些参考性入侵检测系统的检测表(有些选项是依不同的系统而定的)。
1:活动监控
这是一种大规模的监控,主要针对所有用户的访问和系统事件。一部分任务是跟踪违反用户安全策略的事件,非正常活动事件,以及企图造成危害的事件。入侵检测系统使用多种的分析技术以便可以确定企图入侵的事件是否发生。
2:配置检测
您的系统和网络正确配置了么?在系统配置文件里是否存在可检测的安全漏洞?网络主机文件中是否列出了那些不应该被列出的主机名单?网络中的任一主机都会被周期性的安全检查。端口扫描是一个任务,另外就是要确认配置文件的访问权限必须合理。
3:普通主机的检查
网络中任何一台及其都应该被周期性做多种隐患问题的安全检查。如果网络中有任一机器已经确认被渗透,那么所有其他的及其也必须被检查。
4:文件权限检查
文件应该确认其用户组访问权限设置是严格的。一个好的办法是将设置好的文件的权限表备份一份,定期将备份文件中的记录与当前设置对比。
5:隐藏文件检查
什么地方存在隐藏或者不明文件么?这些可能是病毒,键盘记录器,密码破解器,间谍软件等。根据系统的使用不同,文件隐藏时应该按照约定的命名规则。
6:日志文件检查
通过对已经记录的服务器,进程,路由以及其他的安全日志进行数据挖掘可以有效发现入侵事件,日志文件可以集中展现特定地址或者周期性的访问事件。不过这种入侵检测并不是实时的。
7:包嗅探检查
您的系统装了非法的网络监视程序么?比如,包嗅探器。这些小东西可能会记录用户帐号信息。
8:密码文件检查
非法的或者后门帐号可以在系统的密码文件中发现。(单纯的检测授权帐号是不够的,有的时候可能有一些有害软件。在安装入侵检测系统后最好将所有密码重置。)
9:计划任务进程检查
检查非授权运行的进程和授权进程运行的反常文件。例如,如果键盘记录程序已经被安装用来记录密码和用户名,那么它需要在此前被加载,一般来说都是固定的时间。
10:服务检查
是否运行了非法的服务?很多操作系统有服务配置文件,这样可以很方便的辅助跟踪和检测入侵。
11:系统二进制文件检查
您系统的二进制文件被修改过么?文件必须同时使用日期时间检测法和校检法检查,尽管我们不排除黑客破解算法并伪造校检结果的可能。系统文件应该使用加密强度高一些的校检工具。
12:系统及文件完整性评估
上面还没有列出来的检查手段还有系统及文件完整性检查,这个在入侵检测里也是非常重要的一环。
上述很多入侵检测工作都可以由手工完成,而这个工作在入侵检测系统里能够被良好的自动实施。自动化程度较高的IDS在实现统计分析和文件完整性校检的时候都具备绝对的优势。分析是入侵检测里是个重要的核心工作,因为通过大量的数据分析攻击行为就会很容易呈现出来。
一些入侵检测分析例子包括:
1:事件匹配/通过签名内容检测来发现有害软件。
2:网络流量分析可以前发现DoS/DDoS攻击及其他危害事件。
3:IP集中分析可以确定攻击的地理信息。
4:协议分析用来检查通常情况下的网络通信。
自动化IDS,有两种主要类型:基于主机的,基于网络的。基于主机的IDS监视系统调用,日志和网络通信,并且只保护单一机器。基于网络的IDS监视网络数据包和流量,并且提供大量的通信事件分析。 (下一页)
网友评论