基于异常入侵保护的配置和安装

日期: 2009-11-17 作者:David Jacobs翻译:王波 来源:TechTarget中国 英文

基于异常入侵的保护设备通过检测网络非正常和非预期的活动来工作,例如零日黑客攻击。安装和配置一个可以意识到非预期活动的系统要求其对正常预期活动的理解。   监测网络几个小时是不够的。活动模式通常在一天的不同过程和每月的不同时间都会改变。

预期样品是从正常的日常操作和任何月终或年终活动中得到。对于行为的准确理解需要对在此期间的每个应用程序进行分析。   安装基于异常入侵保护,分析网络应用程序   第一步是检测有哪些应用程序运行在网络上。尽管可能看起来这一步是不必要的,因为应用程序的详细目录应该已经更新,但并非总是如此。

应用程序可能已经运行了多年,而没有任何升级或支持的需求,可能已经被人遗忘。一份详细……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

基于异常入侵的保护设备通过检测网络非正常和非预期的活动来工作,例如零日黑客攻击。安装和配置一个可以意识到非预期活动的系统要求其对正常预期活动的理解。

  监测网络几个小时是不够的。活动模式通常在一天的不同过程和每月的不同时间都会改变。预期样品是从正常的日常操作和任何月终或年终活动中得到。对于行为的准确理解需要对在此期间的每个应用程序进行分析。

  安装基于异常入侵保护,分析网络应用程序

  第一步是检测有哪些应用程序运行在网络上。尽管可能看起来这一步是不必要的,因为应用程序的详细目录应该已经更新,但并非总是如此。应用程序可能已经运行了多年,而没有任何升级或支持的需求,可能已经被人遗忘。一份详细的目录可能从来都没有创建或者没有及时更新。在任何情况下,现在是该创建详细目录或对它进行更新的时候了。

  针对每个应用程序创建预期活动的档案是下一个步骤。准确、详细的资料是基于对程序作用的理解。例如,一个应用程序,处理客户信用,并在每次交易时,都检查客户,这将提供客户的每笔消费记录,而另一个程序,分析每月的交易模式,预计返回一个更大的数据块。一个月底会计应用程序通常无法在月中访问。

  这个档案应该包括与该应用程序通讯的其他系统和应用程序的清单。如果用户的工作站连接了应用程序,文档会准确记载到底哪个用户和哪个工作站合法访问了应用程序。

  在创建或更新了网络应用配置文件之后,审查预期的交易率。应用程序会在交易处理时访问客户记录,这通常会参考客户交易率。攻击可能产生一个快速交易序列。每个交易或许仅访问一个单一的客户记录,但是交易率可以表明有攻击正在进行。

  保持档案更新是一项耗时的任务。任何改变都需要更新。任何时候一个应用程序添加、现有应用程序的修改、新设备添加、网络修改或者交易率很大程度的改变,都必须反映在配置文件。

  通过细分网络而简化应用程序档案更新

  配置所有基于异常入侵保护设备的应用程序档案是非常困难的。这需要在任何应用程序改变时,对每个设备进行更新。通过将网络上的应用程序分组,这项工作可以被简化,因为单一的入侵防护设备仅需要对单一的应用程序或一小部分应用程序进行网络活动监测。

  如果一个应用程序的多个实例运行时,他们都应该被归在单一的物理网络链接、子网或虚拟局域网(VLAN)。在许多事例下,彼此交互的应用程序应该被归为一组。在这个子网或者VLAN的入侵防护设备将被配置为仅认可单一应用程序或一个组的应用程序的预期行为模式。更新这些设备的配置仅需要在这一小组的应用程序改变时进行。维护和配置职责被分配到负责应用程序的一组工作人员 ,而不是需要一个中心组来负责监测所有应用程序的改变和维护所有的配置工作。

  虚拟化似乎会使分割网络更加困难。当负载增加、减少或系统因为维护而关闭,虚拟机(VMs)会从一个物理服务器转移到另一个物理服务器。VLAN里分组的应用程序可以消除困难。当他们转移时,VMs维护同样的VLAN成员。所有这一切是来配置所有VLANs中的全部交换机。

  虚拟化似乎会使分割网络更加困难。当负载增加、减少或系统因为维护而关闭,虚拟机(VMs)会从一个物理服务器转移到另一个物理服务器。VLAN里分组的应用程序可以消除困难。当他们转移时,VMs维护同样的VLAN成员。所有这一切是来配置所有VLANs中的全部交换机。

  一旦安装并配置,基于异常入侵保护是非常有效的。但是,没有任何一项技术是完美的。构造狡猾的攻击可能仍然会存在于预期的网络行为中。误报也是有可能的。销售突增所触发的活动水平可能会被视作一次攻击。

相关推荐