***檢測與網(wǎng)絡(luò)審計產(chǎn)品是孿生兄弟嗎？<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Jack? zhai

?

***檢測系統(tǒng)(IDS)是網(wǎng)絡(luò)安全監(jiān)控的重要工具，是網(wǎng)絡(luò)“街道”上的巡警，時刻關(guān)注著網(wǎng)絡(luò)的異常行為；網(wǎng)絡(luò)審計是用戶行為的記錄，是網(wǎng)絡(luò)“大樓”內(nèi)的錄像機，記錄各種行為的過程，作為將來審核“你”的證據(jù)。 我們常見的樓宇監(jiān)控，在保安值班室內(nèi)有一個大電視墻，工作人員實時在看的，屬于IDS類型，監(jiān)控系統(tǒng)需要人的實時參與，發(fā)現(xiàn)異常，及時報警、處理。公共場合內(nèi)銀行的ATM機前有錄像系統(tǒng)，屬于審計類型的產(chǎn)品，當(dāng)需要查看是誰在什么時間進行的操作時，調(diào)出時的記錄，進行取證。 從表面上看，兩個產(chǎn)品都采用了網(wǎng)絡(luò)的“攝像”，對網(wǎng)絡(luò)信息抓取并分析，其實兩個產(chǎn)品技術(shù)出自“同源”---系統(tǒng)的日志分析，好象一對孿生的兄弟；“龍生九子，各有不同”，后天環(huán)境的不同，兩個產(chǎn)品功能屬性大不相同。

?

一、????????????? “遺傳”特性 IDS需要對***行為及時檢測并做出判斷；審計需要對用戶行為全程記錄，兩者好象“風(fēng)牛馬不相及”，要說相似，是因為他倆共同的“祖先”，從對主機日志的分析技術(shù)發(fā)展起來的，隨著安全目標(biāo)的不同，一個注重事件的“關(guān)聯(lián)分析”，一個注重事件的事后重現(xiàn)，雖然后來兩者差距越來越大，但其技術(shù)與產(chǎn)品還有很多相似點，下面我們總結(jié)了幾點： 1)?????????????? 產(chǎn)品設(shè)計架構(gòu) IDS與審計產(chǎn)品都是安全分析類產(chǎn)品，采用“并聯(lián)”在網(wǎng)絡(luò)上的方式，不影響業(yè)務(wù)的性能。在產(chǎn)品的設(shè)計架構(gòu)上基本相同，分為控制中心、數(shù)據(jù)庫、控制臺、數(shù)據(jù)收集引擎幾個部分，采用分布式的部署方式。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 2)?????????????? 信息獲取 n??????????????? 從網(wǎng)絡(luò)上信息收集方式 典型的方式就是網(wǎng)絡(luò)鏈路的端口鏡像(若是光鏈路也可以用分光設(shè)備)，就是把正常網(wǎng)絡(luò)的通訊信號(數(shù)據(jù))復(fù)制一份給鏡像設(shè)備。圖中藍線是IDS的信息收集，紅線是審計的信息收集。多對一的鏡像也可以根據(jù)產(chǎn)品的部署情況采用單獨的數(shù)據(jù)收集引擎，根據(jù)流量采用一對一鏡像，或多對一鏡像。 n? 從主機上信息收集方式 在主機上收集信息一般要安裝Agent軟件，也可以通過Syslog、SNMP等通訊協(xié)議從主機中獲取。主機IDS技術(shù)的早期也是對系統(tǒng)的日志進行分析，后來發(fā)展到對主機的進程、狀態(tài)進行監(jiān)控；主機的系統(tǒng)操作日志、安全日志，數(shù)據(jù)庫上的操作日志，也同樣是審計系統(tǒng)的數(shù)據(jù)來源。 3)??????? 業(yè)務(wù)識別技術(shù) 收集到的信息需要進一步處理，從網(wǎng)絡(luò)鏡像來的數(shù)據(jù)包，首先要還原成通訊協(xié)議，定位到具體的通訊連接，也就是我們常說的業(yè)務(wù)識別技術(shù)。IDS與審計的業(yè)務(wù)識別技術(shù)基本是相同的。 無論是分析是否為***，還是要記錄用戶的行為過程，識別出用戶具體在做什么都是必然的。對于標(biāo)準(zhǔn)協(xié)議的識別與匹配相對是容易的，但是很多應(yīng)用采用了加密，或隱藏在其他的通訊協(xié)議中，如P2P等，要識別起來就比較麻煩，在流量管理技術(shù)中識別一般采用特征匹配技術(shù)，但是應(yīng)用的特征多，而且變化快，對于IDS設(shè)備來說，面對的***是未知的，可能是通過各種通訊手段的，所以對特征的識別要求較高一些；而對于審計產(chǎn)品來說，要審計的應(yīng)用是已知的，系統(tǒng)不提供的服務(wù)也沒有必要進行審計，所以對特征識別需要簡單一些。

?

二、????????????? “變異”特性 遺傳保留的了兩者的框架基礎(chǔ)，變異產(chǎn)生了不同的產(chǎn)品應(yīng)用。IDS與審計是為了不同的安全防護目的而設(shè)計的，“后天的”變化是必然的，其實他們根本就是不同類別的安全產(chǎn)品，不是“一條路上的人”。IDS設(shè)備作為安全監(jiān)控的重要手段，審計是事后取證的安全產(chǎn)品。盡管兩個產(chǎn)品長得很像(產(chǎn)品部署形態(tài))，但其內(nèi)部是大不同的： 1、? 關(guān)鍵安全技術(shù)不同 n???????? IDS是監(jiān)控產(chǎn)品，重點是及時分析出***行為，其關(guān)鍵的技術(shù)是對***的識別，也就是行為匹配分析技術(shù)，無論是用戶行為的匹配，還是統(tǒng)計異常的方法，都要在最短的時間內(nèi)做出判斷，是***則動作，不是***則放過。為了避免“敵人”漏網(wǎng)，一般對“疑似”的病例一律通告，最終的判斷可以由人來決定。 n???????? 審計產(chǎn)品的重點是日后的重現(xiàn)，不僅是行為動作，還有具體細節(jié)，所以審計產(chǎn)品對收集的數(shù)據(jù)整理后，首要的問題是如何存儲，網(wǎng)絡(luò)中的流量是龐大的，所以什么都存的話，不僅量大，而且存儲的時間也緊張，比如公安的監(jiān)控錄像要求就是存三個月就可以了，但業(yè)務(wù)的審計可能需要幾年、甚至幾十年，所以如何規(guī)范數(shù)據(jù)，如何存儲是審計產(chǎn)品的一個關(guān)鍵。另外對于過程重現(xiàn)來說，在龐大的數(shù)據(jù)里搜尋到需要的、具體某人的、特定的行為，在把他重放一遍，這個過程本身就已經(jīng)比較復(fù)雜了。 2、? 對收集信息的關(guān)注點不同 同樣是網(wǎng)絡(luò)鏡像的數(shù)據(jù)，IDS在識別出是誰后，關(guān)注的是他的行為是否有***意圖，也就是他動作的“合法性”，IDS是面對外來人的，所以更關(guān)心進門的“人”是否具有合法的身份，對做的工作是否有合法的授權(quán)，至于他如何做的，IDS就不關(guān)心了；而審計產(chǎn)品是面對內(nèi)部人員的，不到具體人的審計意義是不大的，所以要記錄他具體干了些什么，審計的是他工作的內(nèi)容是否合法，不僅知道他怎么進的大門，而且知道他在房間了都具體做了什么事情，怎么做的…… 3、? 對通訊協(xié)議的識別是不同的 IDS檢測外來的***，所以要關(guān)注所有可能的***隱藏通訊方式，要識別的應(yīng)用是多方面的，尤其是隱藏在通用協(xié)議中的“私有”通訊，應(yīng)為隱藏自己的真實目的是***者經(jīng)常用的手段。但審計產(chǎn)品對是企業(yè)內(nèi)部關(guān)注的業(yè)務(wù)行為進行審計，如上網(wǎng)行為、數(shù)據(jù)庫操作等，即使是第三方的運維人員，其工作方式也可以通過制度等管理手段進行限制為有限的方式，識別的協(xié)議有限，但對具體的“動作”要識別的深入，如數(shù)據(jù)庫審計要審計到具體數(shù)據(jù)庫操作命令的細節(jié)。IDS注重識別的廣度，非標(biāo)準(zhǔn)的通訊協(xié)議需要用“特征”識別；審計產(chǎn)品注重識別的深度，對于加密的通訊，可以在加密的一方端點直接采用非密文審計。

?

三、????????????? “兄弟聯(lián)手”策略 IDS與審計產(chǎn)品都采用了“旁路”的鏡像方式部署，而且關(guān)心的網(wǎng)絡(luò)鏈路大多也是相同的，所以當(dāng)客戶分別部署監(jiān)控與審計安全產(chǎn)品時，經(jīng)常出現(xiàn)的一個現(xiàn)象是：一個端口要鏡像給兩個目標(biāo)端口，分別到不同數(shù)據(jù)收集引擎，而且這兩個引擎的前期工作原理還非常接近。 在分布式的產(chǎn)品結(jié)構(gòu)中，數(shù)據(jù)收集引擎與處理中心是分離的，我們可以把IDS與審計產(chǎn)品的數(shù)據(jù)收集引擎部分功能分離，進而合并兩個引擎為一個。這樣做的好處，其一是減少了業(yè)務(wù)鏈路鏡像出來的端口數(shù)。其二是減少了網(wǎng)絡(luò)上引擎設(shè)備的數(shù)量。其三是把鏡像分析的數(shù)據(jù)引擎通用化，可以減低產(chǎn)品的成本，也方便未來新鏡像系統(tǒng)的部署。 小結(jié)：安全監(jiān)控與審計是網(wǎng)絡(luò)安全建設(shè)中不可缺少的兩個方面，無論是公安部的信息系統(tǒng)等級保護要求，還是×××的涉密信息系統(tǒng)技術(shù)要求，監(jiān)控與審計都是必選項，而且還有細顆粒度的要求。合理、有效地部署監(jiān)控與審計系統(tǒng)，對于保護你網(wǎng)絡(luò)的安全是重要的，而且是必要的。

轉(zhuǎn)載于:https://blog.51cto.com/zhaisj/77724

總結(jié)

以上是生活随笔為你收集整理的***检测与网络审计产品是孪生兄弟吗？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。