一體化安全檢測(UDS)引領(lǐng)安全之道
Internet的飛速發(fā)展,為信息的傳播和利用帶來了極大的方便,同時(shí)也使人類社會(huì)面臨著信息安全的巨大挑戰(zhàn)。為了應(yīng)對日益嚴(yán)重的信息安全問題,防火墻、入侵檢測、安全審計(jì)、流量監(jiān)控等安全產(chǎn)品逐步得到推廣和應(yīng)
Internet的飛速發(fā)展,為信息的傳播和利用帶來了極大的方便,同時(shí)也使人類社會(huì)面臨著信息安全的巨大挑戰(zhàn)。為了應(yīng)對日益嚴(yán)重的信息安全問題,防火墻、入侵檢測、安全審計(jì)、流量監(jiān)控等安全產(chǎn)品逐步得到推廣和應(yīng)用。這些安全產(chǎn)品從一定程度上緩解了日益緊迫的安全問題,但如何集成各個(gè)產(chǎn)品的優(yōu)點(diǎn),更好地發(fā)揮安全產(chǎn)品的作用,是網(wǎng)絡(luò)管理人員面臨的新問題。
概括起來,在目前的網(wǎng)絡(luò)安全管理中存在以下問題:
1.各安全設(shè)備往往是孤立運(yùn)行的,其報(bào)警信息之間難以關(guān)聯(lián),使得管理員缺乏對網(wǎng)絡(luò)整體安全狀況的認(rèn)識(shí)。
2.安全事件發(fā)生后,無法快速確定安全事件的根源,網(wǎng)絡(luò)業(yè)務(wù)恢復(fù)時(shí)間長。
3.對某些特定安全事件缺乏準(zhǔn)確有效的檢測方法,如DDoS攻擊,蠕蟲病毒等。
4.多種網(wǎng)絡(luò)設(shè)備之間的串接,或者在交換機(jī)上進(jìn)行多重鏡像實(shí)現(xiàn)包捕獲,會(huì)造成網(wǎng)絡(luò)運(yùn)行性能下降。
將入侵檢測、安全審計(jì)、異常流量三大功能進(jìn)行集成,采用一體化安全檢測(Unified Detection System ,簡稱UDS)技術(shù),能夠有效地解決上述問題,與分別采用各類技術(shù)相比,具有七大方面的優(yōu)勢。
提高管理員安全決策的準(zhǔn)確性
多種檢測手段的集成,可以使用戶從不同方面更加全面地了解網(wǎng)絡(luò)安全狀況。不同的旁路檢測產(chǎn)品審查的重點(diǎn)不相同,當(dāng)發(fā)生安全違規(guī)事件時(shí),通過三種工具之間的相互印證和關(guān)聯(lián)分析,可以提高管理員決策的準(zhǔn)確性。例如:流量顯示網(wǎng)絡(luò)中突然產(chǎn)生很高的TCP流量,通過IDS報(bào)警可以看出,是P2P軟件下載造成的,通過審計(jì)系統(tǒng)則可以看到更詳細(xì)的信息,比如下載的文件名,文件類型,大小等等。有利于管理員監(jiān)控網(wǎng)絡(luò)資源是否被合法使用。
實(shí)現(xiàn)攻擊源和攻擊目標(biāo)的快速定位
以Internet蠕蟲傳播為例,被蠕蟲感染的主機(jī)的網(wǎng)絡(luò)行為會(huì)不同于正常主機(jī),這時(shí)利用審計(jì)功能可以快速發(fā)現(xiàn)異常主機(jī),結(jié)合IDS的攻擊報(bào)警即可確定感染源。例如:對于超長數(shù)據(jù)的緩沖區(qū)溢出,IDS可以進(jìn)行預(yù)警,管理員再通過審計(jì)模塊察看具體的超長數(shù)據(jù)內(nèi)容,可以準(zhǔn)確判斷一次報(bào)警是否為攻擊,更可以為追蹤入侵者提供有力證據(jù)。
實(shí)現(xiàn)對特定安全事件的全面檢測
對DDoS攻擊和未知蠕蟲,IDS往往難以實(shí)現(xiàn)有效檢測,但二者均會(huì)引起網(wǎng)絡(luò)流量的顯著異常。UDS由于在IDS的基礎(chǔ)上集成了流量檢測功能,彌補(bǔ)了IDS的先天不足,帶來了更全面的檢測能力。例如:一次DDoS或蠕蟲攻擊,會(huì)讓流量檢測模塊顯示某一協(xié)議以及某一應(yīng)用產(chǎn)生大量的流量,而結(jié)合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量,管理員依此來評估具體損失,IDS模塊可以確定具體的攻擊類型,并且進(jìn)行IP定位,用來查找網(wǎng)絡(luò)安全隱患。
提高用戶的投資性價(jià)比
在一次包捕獲的基礎(chǔ)上完成多重分析,與同時(shí)采用多臺(tái)設(shè)備相比,提高了處理的效率,減少了設(shè)備串連時(shí)發(fā)生故障的可能,也降低了多重鏡像對網(wǎng)絡(luò)性能的影響。此外,當(dāng)用一種綜合產(chǎn)品取代多種分離產(chǎn)品,在滿足功能和性能要求的同時(shí),其價(jià)格優(yōu)勢是非常明顯的,可有效的提高用戶的投資性價(jià)比。
方便部署
將旁路檢測功能統(tǒng)一到一個(gè)設(shè)備上來實(shí)現(xiàn),有利于產(chǎn)品的安裝實(shí)施和部署。旁路產(chǎn)品通常的接入方式是通過交換機(jī)配置鏡像或利用串接TAP接入,需要在交換機(jī)上設(shè)置多個(gè)鏡像端口或者串接多個(gè)TAP。不但會(huì)有多重鏡像造成交換機(jī)性能下降的情況出現(xiàn),而且還會(huì)面臨部分交換機(jī)不支持多重鏡像的尷尬,并且串接多個(gè)TAP,也容易造成單點(diǎn)故障。
集中管理,綜合分析
旁路檢測的典型流程是將網(wǎng)絡(luò)上的數(shù)據(jù)報(bào)文進(jìn)行全面捕獲,在保證不丟包的狀態(tài)下對數(shù)據(jù)報(bào)文進(jìn)行分析,根據(jù)不同的預(yù)定義規(guī)則形成安全事件、告警或統(tǒng)計(jì)數(shù)據(jù)。因此在保持底層技術(shù)上統(tǒng)一、上層實(shí)現(xiàn)多樣化的UDS檢測系統(tǒng)則有效的擴(kuò)展了檢測范圍,可以實(shí)現(xiàn)多樣化的綜合檢測需求。同時(shí),在未來的產(chǎn)品架構(gòu)上也具有很好的擴(kuò)展性。例如:系統(tǒng)對多種檢測的結(jié)果進(jìn)行交叉關(guān)聯(lián),集中檢測可以安全事件為單位進(jìn)行報(bào)警,從而為管理員提供一個(gè)清晰的層次。一次DDoS攻擊事件中,異常流量模塊將劃分出時(shí)間范圍,IDS模塊提供詳細(xì)的攻擊類型信息,流量模塊統(tǒng)計(jì)所產(chǎn)生的網(wǎng)絡(luò)流量,不但可以計(jì)算此次安全事件的攻擊強(qiáng)度,還可以為日后計(jì)算損失提供依據(jù),而審計(jì)模塊可以記錄該攻擊行為所影響的具體的應(yīng)用服務(wù),可以為日后追蹤攻擊源頭提供證據(jù)。
對安全事件深入分析、取證記錄,可追蹤溯源
異常流量會(huì)話錄播。通過異常流量的檢測結(jié)果分析,當(dāng)發(fā)現(xiàn)某種協(xié)議類型的流量異常時(shí),啟動(dòng)UDS的會(huì)話錄播功能,可方便安全管理人員對異常流量的審計(jì)。例如:對于未知蠕蟲攻擊,異常流量系統(tǒng)可以預(yù)警,但是因?yàn)榇巳湎x為突發(fā),異常流量系統(tǒng)就在第一時(shí)間內(nèi)預(yù)警,所以還尚無機(jī)構(gòu)為此命名,UDS系統(tǒng)也無法報(bào)警出具體的蠕蟲名字,這樣管理員可以通過系統(tǒng)自動(dòng)記錄下會(huì)話數(shù)據(jù)流,日后再確認(rèn)具體蠕蟲名稱。
IDS日志與安全審計(jì)日志、異常流量報(bào)警日志的交叉報(bào)表功能。被蠕蟲感染或遠(yuǎn)程控制的主機(jī),其流量分布、行為表現(xiàn)會(huì)不同于正常主機(jī)。通過審計(jì)或異常流量的日志發(fā)現(xiàn)異常主機(jī),可以使管理員在處理IDS模塊的報(bào)警時(shí)更加關(guān)注那些異常主機(jī),提高分析的準(zhǔn)確性。例如:對于一次安全事件,如蠕蟲攻擊,交叉報(bào)表可以給管理員提供一個(gè)很清晰的層次,可以通過異常流量模塊來確認(rèn)一次安全事件,IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲名稱,流量模塊可以提供安全事件產(chǎn)生的數(shù)據(jù)量,審計(jì)模塊為確認(rèn)并追蹤攻擊源以及受害系統(tǒng)提供了依據(jù)。
IDS與主機(jī)資源信息的關(guān)聯(lián)。在各種安全設(shè)備上報(bào)的攻擊事件中,并非每次攻擊都會(huì)對目標(biāo)網(wǎng)絡(luò)的安全構(gòu)成威脅。以一次典型的針對IIS的緩沖區(qū)溢出攻擊為例,如果目標(biāo)主機(jī)不可達(dá),或者其操作系統(tǒng)不是Windows系統(tǒng)、沒有運(yùn)行IIS服務(wù)、不存在相關(guān)的漏洞,都會(huì)導(dǎo)致攻擊不成功。為此可以將IDS的報(bào)警與主機(jī)資源信息進(jìn)行關(guān)聯(lián),判斷該報(bào)警的真實(shí)性,降低IDS的誤報(bào)率。UDS的精確報(bào)警功能從一定程度上解決了該類問題,如果能進(jìn)一步關(guān)聯(lián)漏洞掃描的結(jié)果,將會(huì)進(jìn)一步增強(qiáng)報(bào)警的準(zhǔn)確性。例如:入侵者對一臺(tái)Linux系統(tǒng)發(fā)動(dòng)一次unicode攻擊,其實(shí)這個(gè)攻擊是針對于Windows平臺(tái)的,這次攻擊并不能成功,如果運(yùn)行環(huán)境中數(shù)據(jù)流量較大,報(bào)警較多,管理員則可以通過降低策略中的報(bào)警強(qiáng)度,過濾掉這些入侵企圖,而記錄真正有效的、有威脅的攻擊。
基于以上七大優(yōu)勢可以預(yù)計(jì),一體化安全檢測技術(shù)和產(chǎn)品將得到越來越多的關(guān)注和應(yīng)用。
概括起來,在目前的網(wǎng)絡(luò)安全管理中存在以下問題:
1.各安全設(shè)備往往是孤立運(yùn)行的,其報(bào)警信息之間難以關(guān)聯(lián),使得管理員缺乏對網(wǎng)絡(luò)整體安全狀況的認(rèn)識(shí)。
2.安全事件發(fā)生后,無法快速確定安全事件的根源,網(wǎng)絡(luò)業(yè)務(wù)恢復(fù)時(shí)間長。
3.對某些特定安全事件缺乏準(zhǔn)確有效的檢測方法,如DDoS攻擊,蠕蟲病毒等。
4.多種網(wǎng)絡(luò)設(shè)備之間的串接,或者在交換機(jī)上進(jìn)行多重鏡像實(shí)現(xiàn)包捕獲,會(huì)造成網(wǎng)絡(luò)運(yùn)行性能下降。
將入侵檢測、安全審計(jì)、異常流量三大功能進(jìn)行集成,采用一體化安全檢測(Unified Detection System ,簡稱UDS)技術(shù),能夠有效地解決上述問題,與分別采用各類技術(shù)相比,具有七大方面的優(yōu)勢。
提高管理員安全決策的準(zhǔn)確性
多種檢測手段的集成,可以使用戶從不同方面更加全面地了解網(wǎng)絡(luò)安全狀況。不同的旁路檢測產(chǎn)品審查的重點(diǎn)不相同,當(dāng)發(fā)生安全違規(guī)事件時(shí),通過三種工具之間的相互印證和關(guān)聯(lián)分析,可以提高管理員決策的準(zhǔn)確性。例如:流量顯示網(wǎng)絡(luò)中突然產(chǎn)生很高的TCP流量,通過IDS報(bào)警可以看出,是P2P軟件下載造成的,通過審計(jì)系統(tǒng)則可以看到更詳細(xì)的信息,比如下載的文件名,文件類型,大小等等。有利于管理員監(jiān)控網(wǎng)絡(luò)資源是否被合法使用。
實(shí)現(xiàn)攻擊源和攻擊目標(biāo)的快速定位
以Internet蠕蟲傳播為例,被蠕蟲感染的主機(jī)的網(wǎng)絡(luò)行為會(huì)不同于正常主機(jī),這時(shí)利用審計(jì)功能可以快速發(fā)現(xiàn)異常主機(jī),結(jié)合IDS的攻擊報(bào)警即可確定感染源。例如:對于超長數(shù)據(jù)的緩沖區(qū)溢出,IDS可以進(jìn)行預(yù)警,管理員再通過審計(jì)模塊察看具體的超長數(shù)據(jù)內(nèi)容,可以準(zhǔn)確判斷一次報(bào)警是否為攻擊,更可以為追蹤入侵者提供有力證據(jù)。
實(shí)現(xiàn)對特定安全事件的全面檢測
對DDoS攻擊和未知蠕蟲,IDS往往難以實(shí)現(xiàn)有效檢測,但二者均會(huì)引起網(wǎng)絡(luò)流量的顯著異常。UDS由于在IDS的基礎(chǔ)上集成了流量檢測功能,彌補(bǔ)了IDS的先天不足,帶來了更全面的檢測能力。例如:一次DDoS或蠕蟲攻擊,會(huì)讓流量檢測模塊顯示某一協(xié)議以及某一應(yīng)用產(chǎn)生大量的流量,而結(jié)合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量,管理員依此來評估具體損失,IDS模塊可以確定具體的攻擊類型,并且進(jìn)行IP定位,用來查找網(wǎng)絡(luò)安全隱患。
提高用戶的投資性價(jià)比
在一次包捕獲的基礎(chǔ)上完成多重分析,與同時(shí)采用多臺(tái)設(shè)備相比,提高了處理的效率,減少了設(shè)備串連時(shí)發(fā)生故障的可能,也降低了多重鏡像對網(wǎng)絡(luò)性能的影響。此外,當(dāng)用一種綜合產(chǎn)品取代多種分離產(chǎn)品,在滿足功能和性能要求的同時(shí),其價(jià)格優(yōu)勢是非常明顯的,可有效的提高用戶的投資性價(jià)比。
方便部署
將旁路檢測功能統(tǒng)一到一個(gè)設(shè)備上來實(shí)現(xiàn),有利于產(chǎn)品的安裝實(shí)施和部署。旁路產(chǎn)品通常的接入方式是通過交換機(jī)配置鏡像或利用串接TAP接入,需要在交換機(jī)上設(shè)置多個(gè)鏡像端口或者串接多個(gè)TAP。不但會(huì)有多重鏡像造成交換機(jī)性能下降的情況出現(xiàn),而且還會(huì)面臨部分交換機(jī)不支持多重鏡像的尷尬,并且串接多個(gè)TAP,也容易造成單點(diǎn)故障。
集中管理,綜合分析
旁路檢測的典型流程是將網(wǎng)絡(luò)上的數(shù)據(jù)報(bào)文進(jìn)行全面捕獲,在保證不丟包的狀態(tài)下對數(shù)據(jù)報(bào)文進(jìn)行分析,根據(jù)不同的預(yù)定義規(guī)則形成安全事件、告警或統(tǒng)計(jì)數(shù)據(jù)。因此在保持底層技術(shù)上統(tǒng)一、上層實(shí)現(xiàn)多樣化的UDS檢測系統(tǒng)則有效的擴(kuò)展了檢測范圍,可以實(shí)現(xiàn)多樣化的綜合檢測需求。同時(shí),在未來的產(chǎn)品架構(gòu)上也具有很好的擴(kuò)展性。例如:系統(tǒng)對多種檢測的結(jié)果進(jìn)行交叉關(guān)聯(lián),集中檢測可以安全事件為單位進(jìn)行報(bào)警,從而為管理員提供一個(gè)清晰的層次。一次DDoS攻擊事件中,異常流量模塊將劃分出時(shí)間范圍,IDS模塊提供詳細(xì)的攻擊類型信息,流量模塊統(tǒng)計(jì)所產(chǎn)生的網(wǎng)絡(luò)流量,不但可以計(jì)算此次安全事件的攻擊強(qiáng)度,還可以為日后計(jì)算損失提供依據(jù),而審計(jì)模塊可以記錄該攻擊行為所影響的具體的應(yīng)用服務(wù),可以為日后追蹤攻擊源頭提供證據(jù)。
對安全事件深入分析、取證記錄,可追蹤溯源
異常流量會(huì)話錄播。通過異常流量的檢測結(jié)果分析,當(dāng)發(fā)現(xiàn)某種協(xié)議類型的流量異常時(shí),啟動(dòng)UDS的會(huì)話錄播功能,可方便安全管理人員對異常流量的審計(jì)。例如:對于未知蠕蟲攻擊,異常流量系統(tǒng)可以預(yù)警,但是因?yàn)榇巳湎x為突發(fā),異常流量系統(tǒng)就在第一時(shí)間內(nèi)預(yù)警,所以還尚無機(jī)構(gòu)為此命名,UDS系統(tǒng)也無法報(bào)警出具體的蠕蟲名字,這樣管理員可以通過系統(tǒng)自動(dòng)記錄下會(huì)話數(shù)據(jù)流,日后再確認(rèn)具體蠕蟲名稱。
IDS日志與安全審計(jì)日志、異常流量報(bào)警日志的交叉報(bào)表功能。被蠕蟲感染或遠(yuǎn)程控制的主機(jī),其流量分布、行為表現(xiàn)會(huì)不同于正常主機(jī)。通過審計(jì)或異常流量的日志發(fā)現(xiàn)異常主機(jī),可以使管理員在處理IDS模塊的報(bào)警時(shí)更加關(guān)注那些異常主機(jī),提高分析的準(zhǔn)確性。例如:對于一次安全事件,如蠕蟲攻擊,交叉報(bào)表可以給管理員提供一個(gè)很清晰的層次,可以通過異常流量模塊來確認(rèn)一次安全事件,IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲名稱,流量模塊可以提供安全事件產(chǎn)生的數(shù)據(jù)量,審計(jì)模塊為確認(rèn)并追蹤攻擊源以及受害系統(tǒng)提供了依據(jù)。
IDS與主機(jī)資源信息的關(guān)聯(lián)。在各種安全設(shè)備上報(bào)的攻擊事件中,并非每次攻擊都會(huì)對目標(biāo)網(wǎng)絡(luò)的安全構(gòu)成威脅。以一次典型的針對IIS的緩沖區(qū)溢出攻擊為例,如果目標(biāo)主機(jī)不可達(dá),或者其操作系統(tǒng)不是Windows系統(tǒng)、沒有運(yùn)行IIS服務(wù)、不存在相關(guān)的漏洞,都會(huì)導(dǎo)致攻擊不成功。為此可以將IDS的報(bào)警與主機(jī)資源信息進(jìn)行關(guān)聯(lián),判斷該報(bào)警的真實(shí)性,降低IDS的誤報(bào)率。UDS的精確報(bào)警功能從一定程度上解決了該類問題,如果能進(jìn)一步關(guān)聯(lián)漏洞掃描的結(jié)果,將會(huì)進(jìn)一步增強(qiáng)報(bào)警的準(zhǔn)確性。例如:入侵者對一臺(tái)Linux系統(tǒng)發(fā)動(dòng)一次unicode攻擊,其實(shí)這個(gè)攻擊是針對于Windows平臺(tái)的,這次攻擊并不能成功,如果運(yùn)行環(huán)境中數(shù)據(jù)流量較大,報(bào)警較多,管理員則可以通過降低策略中的報(bào)警強(qiáng)度,過濾掉這些入侵企圖,而記錄真正有效的、有威脅的攻擊。
基于以上七大優(yōu)勢可以預(yù)計(jì),一體化安全檢測技術(shù)和產(chǎn)品將得到越來越多的關(guān)注和應(yīng)用。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
