入侵侦测强化企业信息安全

原创 2003年06月12日 12:29:00

赛门铁克大中华区技术总监王岳忠:
连上网际网络使您的企业多了一个管道接触上百万的潜在客户,相对的,这些客户也可藉由网际网络与您的企业联系。许多网站及内部网络会被入侵的原因在于没有采取必要的预防措施以防范攻击。如果企业无法保障网站及客户资料的安全,那么企业将会面临更大的损失风险。一个单一的攻击事件可造成几百万元潜在营收的损失,但那仅只是开始而已。一个攻击事件造成的损害还包括:客户的不便或信心的丧失、智能财产及市场优势的损失、面临客户资料外泄的法律责任以及从攻击事件中复原的时间与金钱成本。 

对抗信息系统攻击的最佳防御是整合工具与安全政策,它可以提高有关攻击信息的精确度,并提供实时的信息以有效响应攻击。

安全需求
网络是由各种形态的软硬件所组成,而使用者对于这些软硬件又有着不同的存取需求。为有效防护信息系统,必须有一个考量这些多样化网络组件及其相关安全议题的安全模型。以下是一个基本安全模型的概要:

1. 使用者政策
2. 防火墙
3. 入侵侦测系统
4. 路由器安全
5. 主机系统安全
6. 稽核
7. 紧急应变计划
以下我们将讨论企业会面临的一些问题,特别是在企业信息基础架构内部属入侵侦测系统会被讨论到的议题。

防火墙:必要,但非牢不可破的解决方案
防火墙是企业网络的第一道防线,但绝不应该被视为是可以解决网络安全问题的“法宝”。没有任何一个单一产品可以被视为法宝。当在网络边界与整个基础架构部署防火墙时,它们能提供基本的安全保护。几乎所有重视其业务运作的企业都已经投资且建置防火墙技术。但即使已经建置了防火墙,仍有 90% 的财星 500 大企业侦测到安全缺口。问题在于,所有的防火墙都是曝露在外,会遭到外部的攻击或被以各种方式避开。例如,骇客可以刺探运用防火墙的错误设定,透过交换机的拨号联机以避开防火墙,在特定服务上发动拒绝服务攻击 (DoS);使用特洛依木马程序及穿燧技术,甚至发动缓冲区溢位攻击以获得防火墙的 root access。因为 70% 以上的网络信息安全事故来自于内部的攻击,所以企业也必须在重要网络资产内建置防火墙,以降低入侵的相关风险。然而,内部的攻击者仍可再一次地避开或刺探这些防火墙。

防火墙被视为网络的守门员,但是它们能提供的防护却十分有限。它们最大的问题在于,防火墙无法检查通过的封包内容。要检查封包的内容,企业必须在安全部署中加入入侵侦测的机制。入侵侦测系统可以协助在早期阶段辨识攻击,提供企业组织快速的信息安全事端分析与更多的响应时间,并部署防御机制以防范进一步的攻击事件。

提升企业信息安全防御等级 -- 入侵侦测系统
若信息安全资产对于某些企业来说具有关系到企业存活的地位时,部署入侵侦测系统就成为非常必要的企业信息安全防护措施。入侵侦测系统可补强防火墙技术的不足。在防火墙内外部署有IDS 的侦测器可以协助判断防火墙是否适当地设定与运作。IDS 也可以辨识防火墙无法察觉的网络攻击。入侵侦测系统协助企业化被动为主动,能够有效降低网络安全的风险。

入侵侦测系统分为以下四种类型:


传统网络型入侵侦测系统 (NIDS)
传统主机型入侵侦测系统 (HIDS)
混合型入侵侦测系统 (Hybrid IDS)
诱捕系统 (Deception systems)
传统网络型入侵侦测系统(NIDS)
使用不区分模式的网络卡,以检视每一个经过的网络封包。典型的网络型 IDS 是由一个或多个侦测器以及可收集并分析来自侦测器资料的主控台所组成。网络型 IDS 的部署比主机型 IDS 来得简单且更易于管理,但某些网络型 IDS 在安装后会因为无法处理大量的网络通讯,而遗漏攻击事件,,且它们会因为误报而产生大量无法管理的警示;使得真正的攻击难以被辨识出来。误报是指在实际上没有攻击行为发生时,因为合法活动所产生的警示。如果一个企业一再地被误报所打击,企业就会开始忽视他们的警示系统及其所收集的资料,使得这个系统变得没有用。误报对大多数的企业来说都是一个持续的挑战。

传统主机型入侵侦测系统 (HIDS)
监视主机内部的程序并监控记录文件与可疑活动的资料。某些主机型的 IDS 是独立运作的。而在其它系统中,每一个主机型的 IDS 会回报到负责集中评估与响应机制的主系统,这对大型企业的部署来说非常有帮助。因为对大多数的主机型解决方案来说,有限的平台支持与涵盖范围会使得这个解决方案变得难以管理,且它们会因为缺乏封包检测的能力使系统门户大开而遭受网络攻击。

混合型入侵侦测系统
结合主机型与网络型技术。混合型的 IDS 以系统为基础,并可识别流向或来自该单一主机网络封包上的攻击。混合型的系统不像网络型 IDS,它不会检查每一个经过的封包,所以它减缓了某些因为流量分析而造成的效能降低问题。混合式的 IDSes 藉由监控系统的事件、资料、目录及登录文件中的攻击行为,以提供更多的防护。平台的限制与部署问题仍是一个争议,且它们在传统上会耗费相当的系统资源,但是较之于网络型的 IDS,它们较不易发生误报的情形。

诱捕系统(Deception system)或"honeypot"
是一般的常见的说法,为网络基础架构提供额外层级的防护。诱捕系统通常比其它侦测系统更有价值,因为它可以减少误报与安全假象,诱捕系统可被视为「设定后放置」("set and forget")的 IDS,侦测器可由单一系统或多个网络装置组成,其唯一目的是捕获未经授权的活动。此意指任何进出诱捕系统的封包会自然而然地被认为是可疑的,这简化了资料的记录与分析程序,并可提供关于攻击者动机的实用信息。

一般对诱捕系统有一个错误的观念,那就是因为它们会将骇客引诱进来,因此其所收集的证据可能无法用以起诉骇客。事实是,诱捕系统不是主动式的诱捕器(lures)而且它们不容易被发现。骇客只能透过执行用来入侵网络的探测工具来找到诱捕系统。

智能视频分析

智能视频分析目前在国际上有多种叫法,比如VCA(Video Content Analysis)、VA(Video Analysis)、IVA(Intelligent Video Analytics)等...
  • tkp2014
  • tkp2014
  • 2015年06月14日 12:41
  • 955

视频移动侦测VMD的实现

视频移动侦测区域报警的原理、实现与应用   简介   ====== 此项目用于前端摄像头的视频移动侦测报警。 之前已经发布了一个版本,功能比较简单,现在在以前版本的基础上增加了区域报警...
  • hbuxiaofei
  • hbuxiaofei
  • 2015年12月29日 10:11
  • 1523

Hi3515移动侦测技术的设计与实现

一、MD(移动侦测):     移动侦测是检测正在视频编码的图像是否发生亮度变化以及相应的运动向量。移动侦测通道就是视频编码通道,最大支持运动侦测路数与编码路数相同。     Hi3520/Hi3...
  • jzzjsy
  • jzzjsy
  • 2014年05月21日 09:13
  • 1054

强化学习介绍(Introduction to RL)

机器学习有三大分支,监督学习、无监督学习和强化学习,强化学习是系统从环境学习以使得奖励最大的机器学习。人工智能中称之为强化学习,在控制论中被称之为动态规划,两者在概念上是等价的。也被翻译为增强学习。...
  • tlzhatao
  • tlzhatao
  • 2017年03月25日 11:55
  • 1764

强化学习-无模型控制(下)

2.在线策略学习2.1.ε\varepsilon -蒙特卡洛控制有了上一节的引导,我们现在可以提出一个基于ε\varepsilon的蒙特卡洛控制算法,其流程如下: 随机选择一个策略π\pi 依据该策...
  • ArtistA
  • ArtistA
  • 2016年06月05日 20:01
  • 1400

揭秘深度强化学习

文/ Tambet Matiisen 译/赵屹华,刘翔宇 原作者Tambet Matiisen在文章结尾列出了对本文内容给出意见和建议的读者,以及深入了解这些技术的在线文档和视频链接,受篇幅所限,译...
  • Real_Myth
  • Real_Myth
  • 2016年07月28日 13:41
  • 1199

入侵Tomcat服务器一次实战描述

到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站...
  • sinat_31998357
  • sinat_31998357
  • 2015年10月21日 11:58
  • 1657

RL强化学习 C++实现

详细过程见: http://blog.csdn.net/u013405574/article/details/50903987#include "iostream" #include "vector...
  • u012319493
  • u012319493
  • 2016年10月21日 16:34
  • 643

强化学习(Reinforcement Learning)知识整理

传送门:https://zhuanlan.zhihu.com/p/25319023 因为准备投入学习 CS294,具体见 知乎专栏,复习了下之前学习 Udacity 和 CS181 中有关强...
  • savant_ning
  • savant_ning
  • 2017年02月28日 18:19
  • 1703

强化学习简单示例——SARSA算法

【注】我也是刚刚接触强化学习的内容,对这部分理解不是很透彻,代码写的可能也会有不对或不完善的地方,还请各位批评指正。这个问题是个作业,这是我自己编的代码,老师提供的答案出来后再更。 【问题描述】 ...
  • u014157632
  • u014157632
  • 2016年11月29日 09:07
  • 896
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:入侵侦测强化企业信息安全
举报原因:
原因补充:

(最多只允许输入30个字)