二个防御网络安全攻击的方法分别是基于签名和基于异常网络行为分析(NBA)。本文是由TechTarget特约技术专家David Jacobs撰写,介绍这些入侵防御系统(IPS)技术是如何阻止黑客攻击并保护我们的网络。 受到网络攻击的新闻多不胜数。黑客会入侵商业网站盗取信用卡信息,入侵国防领域网站偷取最高机密的军事计划。
最近发生的拒绝服务(DoS)攻击能让普通用户无法访问网站。遍布企业网络的防火墙和入侵防御系统每天都记录了大量的黑客攻击活动。 为了防止被攻击,有2个重要的防御方法可以使用:基于签名和基于异常网络行为分析(NBA)。 基于签名的入侵防御和侦查 基于签名的系统是对抗曾经……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
二个防御网络安全攻击的方法分别是基于签名和基于异常网络行为分析(NBA)。本文是由TechTarget特约技术专家David Jacobs撰写,介绍这些入侵防御系统(IPS)技术是如何阻止黑客攻击并保护我们的网络。
受到网络攻击的新闻多不胜数。黑客会入侵商业网站盗取信用卡信息,入侵国防领域网站偷取最高机密的军事计划。最近发生的拒绝服务(DoS)攻击能让普通用户无法访问网站。遍布企业网络的防火墙和入侵防御系统每天都记录了大量的黑客攻击活动。
为了防止被攻击,有2个重要的防御方法可以使用:基于签名和基于异常网络行为分析(NBA)。
基于签名的入侵防御和侦查
基于签名的系统是对抗曾经被发现过的攻击的一个极为有效的的方法。它们能够快速安装和马上使用。这些系统会检查所有到达的数据包并将它的内容与一系列已知的攻击机制进行比对。将合法的活动当成攻击的错误判断会很少发生。它生成的报表很容易理解,因为每一个事件都标明了探测到的攻击类型。
虽然基于签名的系统对抗已知的攻击类型很有效,但是它们不能探测新出现的攻击。黑客也明白任何新的攻击类型会很快被探测到,并且入侵防御供应商很快就会有应对方法。因此,他们会在发现新的攻击方法时马上攻击大量的网站。
因此,基于签名的系统必须保持更新。供应商会收集和监控来自全世界的攻击报告。他们也会收集来自安装在客户的产品的数据。当其中一个客户受到攻击时,供应商会马上派人分析,然后开发出一个保护方法,并将更新分发给所有其他客户。虽然供应通常能够探测新的攻击方法并快速以给出防御方法,但是第一批受到攻击的已经受到了攻击破坏。
基于异常的入侵探测系统
基于异常的探测系统会探测与预期行为不相符的网络活动。系统会根据相应的产品匹配正常的活动模式。例如,应用正常时会一次只访问一条数据记录。如果入侵防御系统探测到有人在同时访问大量的记录,这很可能就是一个攻击。类似地,如果一个有权限访问一些受保护记录的用户试图访问其它类型的信息,那么该用户的工作机很可能已经感染病毒了。
跟基于签名的系统不同,新的攻击也会被探测到,因为这些攻击不匹配已经被基于异常的入侵检测系统识别的模式。所以只要发生了与正常行为不同的事件就会被探测到。基于异常的入侵防御系统的缺点它必须经过详细配置后才能识别活动预期的模式。配置必须在添加新的应用或现有应用修改后进行更新。如果合法的活动没有以平常模式运行,那么就可能发生错误判断。
配置IPS防御复杂攻击
对于攻击元素分布在多条命令的情况,如基于Web攻击的HTTP消息,会同时给基于签名和基于异常的系统带来难度。对于基于签名的系统,签名可以分布在一系列的命令中而使攻击模板匹配不到任何数据包。基于异常的系统可能无法探测同时针对多个主机发起的攻击。发送到每一个主机的序列可能都是合法的,但它们可能会让每台主机上的应用进行交互而进行破坏活动。
更麻烦的是,并不是所有数据包都从一个相同的点或网关进入网络的。虽然企业网络通常都会不止一个的连接到Internet的网关上配置入侵防御系统,防御所有的网关仍然是不够的。
病毒可能不是通过网关渗入网络的。员工可能会将笔记本电脑带回到他们保护措施比较弱的家庭网络中使用。当他们把感染病毒电脑重新连接到企业内部网络时,病毒就可以不经过Internet网关而进入企业网络。无线网络是另一个容易受到攻击的点,它们在实现一个入侵防御系统是不能被忽略的一部分。通过无线LAN(WLAN)的外部破坏同样也是绕过网关的。
入侵防御系统也必须安装在网络的关键点上(像连接网关到应用运行或连接数据库服务器的交换机)来探测这些攻击。系统必须能够互相交换信息,并评估来自路由器等的报告和主机日志,从而根据一连串数据包来检测出攻击。
相对于可以快速安装和马上使用的基于签名的系统,设计、配置和安装一个基于异常的系统会更加复杂些。本系列文章的下一篇将探讨配置和安装一个基于异常的系统的步骤。
作者
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
企业无线网络的安全强化措施(下)
在文章中,我们列出了数据链路层的针对企业无线局域网可能遭到滥用的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。
-
企业无线网络的安全强化措施(上)
在文章中,我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。
-
入侵检测系统(IDS)和入侵防御系统(IPS)
除了应对原有攻击,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,因为应用程序愈来愈成为攻击威胁的入口。
-
安全网关UTM技术精髓
传统的UTM被定位在低端市场,这不仅影响厂家的积极性,而且对于用户的实际应用也是不公平的。随着高端IPS产品大量整合安全功能与服务,UTM市场也将向高端延伸。