入侵检测系统的安全策略

日期: 2011-11-02 来源:TechTarget中国

  入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。

  这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在用户都采取两种模式相结合的策略。

  入侵检测系统还有其他安全策略,如控制策略和响应策略。对于控制策略,入侵检测系统分为集中式控制和分布式控制两种模式(还有第三种是混合式)。在前者模式中,只有一个中央入侵检测服务器,分布于各个主机上的审计程序将搜集到的数据踪迹发送到中央服务器集中分析处理。这种方式可以节约资源,降低成本,但是在可伸缩性和可配置性上有弱点,网络一大,就可能形成瓶颈,而且具有单点故障的风险。

  分布式控制模式则将中央服务器的功能分配到各个节点的主机之中,让大家都有入侵检测的功能,这种模式显然能够避免上述弱点。但分布式控制策略的维护成本却高了很多,而且增加了监控主机的工作负担。

  从响应策略上讲,入侵检测系统也分为两种模式——主动响应和被动相应。前者对于搜集到的不正常情况只发出告警通知,不试图降低所造成的破坏,也不对攻击者反击;后者则可能对被攻击系统实施控制,阻断或减轻攻击影响。表面上看,主动响应的功能要比被动相应强很多,大家都选前者不就完了吗?

  事情还有另一面,网络上的事情是比较复杂的,如果没有弄清楚异常情况的根源便自动采取反制措施,如断开网络连接、杀死可疑进程等,可能会给系统带来严重后果。须知正在运行的信息系统是连着千万个用户,任何一个系统的操作需要慎之又慎。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 物联网时代的网络安全

    物联网(IoT)是相对较新的发明。十年前,我们的主要工作是保护电脑,而五年前我们开始要保护智能手机。现在我们还 […]

  • 整合有线和无线局域网安全方案?没那么快(上)

    很多厂商都在宣传整合有线和无线局域网安全策略,这固然能使管理简便,但它应该从何入手?又会带来什么问题?

  • 入侵检测系统部署指南

    入侵检测系统(IDS)通常用于检测不正常的行为,旨在在黑客对你的网络造成实质破坏之前揪出黑客。本技术手册将从基础入门、购买建议、部署建议等方面来详细介绍。

  • IDS选购最佳建议

    公司正在准备购买IDS设备,哪些资料可以用来帮助我们最终确定选购哪家的产品?IDS产品有许多相似的特性,我们应该如何依据标准检查程序并争取到合理的价钱呢?