网络安全的未来:CIDS

日期: 2010-08-10 作者:M. E. Kabay 来源:TechTarget中国 英文

  我们运用不同的工具(利用防火墙和入侵检测系统)来监视周边环境,监视通过恶意软件的攻击(利用反恶意攻击软件)、利用欺骗手段发起的攻击(利用反钓鱼解决方案),以及对动态数据的攻击(利用流量分析和网络攻击日志记录)和对静态数据的攻击(利用系统和应用程序日志记录)。但我们似乎很少看到有一种工具能够为所有相关数据提供一种网络态势感知能力。

  最近我在读一篇文章,是Websense的销售副总裁Andrew Philpot写的一篇关于统一内容安全的文章。他的基本观点来自于其自己公司研究实验室的数据支持。他表示“统一内容安全可以使企业在不妨碍合法企业操作的情况下管理风险,像这样一个系统在安全决策的过程中担任一个中间角色;它通过多个沟通渠道和内容分类来达到这个目的,以识别潜在的安全威胁。这既包括外部,也包括内部安全,防止数据丢失和业务滥用。它像传统反攻击手段一样有效。”

  在阅读Philpot文章中一些细节的同时,还看到了一篇研究论文,是由澳大利亚墨尔本大学几位作者写的文章——“一个关于协调攻击和协同入侵检测的调查”。该论文的摘要如下:

  协调的攻击,如大规模的隐蔽扫描、蠕虫病毒的爆发和分布式拒绝服务攻击在多个网络同时进行。这种攻击是非常难以用隔离的入侵检测系统来进行监测的。即使能监测,也只是互联网的一个非常有限的部分。在本文中,我们总结了当下利用协同入侵检测系统(CIDS)监测上述攻击的研究方向。我们强调了在当下CIDS研究过程中的两个主要挑战:CIDS架构和报警关联算法,并回顾了当下应对这两个方面挑战的CIDS方法。

  作者以一个关于几个协调攻击的调查作为开始,包括2003年的SQL-Slammer蠕虫病毒和2007年的风暴蠕虫。这些攻击是典型的“非常难以察觉的,因为这些攻击通常通过多个网络管理域进行传播。”研究人员说,为了及时发现大规模的协调攻击,需要结合来自多个地理分布的可疑网络活动证据。他们认为,CIDS允许从多个来源搜集证据是非常必要的。他们还主张实时处理,而不是进行事后的大数据量分析。因为“尽管协调的攻击可能在稍后阶段更容易发现,但是入侵检测工具的作用将被削弱。因为到了那个阶段,这种损害已经造成了。”

  CIDS有两个主要的组成部分:

  1.一个检测单元,由多个检测传感器组成,每个传感器都监测其自身所在的子网或者单独的主机,然后生成低级别的入侵警报。

  2.一个相关单元,将低级别的入侵警报转化成高级别的、经过攻击确认的入侵检测报告。

  作者指出了信息共享系统的参与者不愿意提供数据,除非他们的数据可以得到保护。一种方法是进行消毒,其中身份信息要么被删除,要么被改造。他们写道:“另一个重要的方面是关于协调入侵检测的安全和信任问题。这个问题在CIDS系统中比其他问题的优先级低了很多。”消息认证是有用的,但是这种方法不能防止认证用户发送恶意数据。

  笔者认为,CIDS将是网络安全的未来。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐