网络节点
IDS
(
Network Node IDS (NNIDS)
)
交换网络和高速网络给 NIDS 带来问题:一些 NIDS 在高速网络下工作不可靠,丢包率升高。交换网络不允许混杂模式网卡监听到网络内所有流量。而网络节点 IDS 将 NIDS 的功能分布到单个的网络节点,从而解决了高速和交换网络的问题。
虽然网络节点 IDS 与个人防火墙相近,但它们也有区别。对个人防火墙归类为 NNIDS ,在对连接企图将应用事件分析。例如在个人防火墙上报警 "attempted connection to port *****" , NNIDS 将根据 “whatever” ***特征识别为 “whatever” 探测。 NNIDS 将收集到的事件向中央控制台汇报。尽管有这些区别,但是有的个人防火墙厂商还是将其作为网络节点 IDS 推出。
产品: BlackICE Agent 、 Tiny CMDS.
个人防火墙 Personal Firewall
个人防火墙安装在个人操作系统上防止非法连接进出。它们能否有效保护主机免受***并不可靠。不要将它与网络节点 IDS 混淆。
例如: ZoneAlarm 、 Sybergen.
基于目标的 IDS ( Target-Based IDS )
这类 IDS 的概念不是很明确,不同的人有不同的理解。一种定义指的是文件完整性检查工具,而另一种是基于网络的 IDS ,可以侦测***特征保护网络。后一种定义的目标是避开不必要的检测,加速 IDS 。我个人希望了解每一种***而不考虑其成功与否。由于这个术语有太多的含义,应该避免使用它,以免混淆。
***检测工作组- IDWG ( Intrusion Detection Working Group (IDWG) )
IDWG 的工作目标是定义***检测和响应系统进行信息共享和交换,以及与管理系统交互所需的数据格式。 IDWG 与 IETF 其它工作组协同工作。
事件处理 Incident Handling
探测到***只是开始。更多的情况是,控制台操作员会经常接到警报,因此没有时间亲自跟踪每个事件,他们会对感兴趣的事件做上标志,以利于事件处理小组深入调查事件。经过最初响应之后,接下来需要处理的问题是深入调查、取证和法庭起诉工作。 Chris Jordan 的论文 "Analyzing IDS Data" 论述了 IDS 警报分析的前两个阶段。
事件响应( Incident Response )
对潜在事件的初始反应,然后依据事件处理程序操作。
隔离( Islanding )
隔离是把网络从 Internet 上隔离开来,这往往是迫不得已采取得办法,通常在遇到大规模病毒发作或者遇到很严重的***的情况下才采取隔离措施。
混杂模式 Promiscuous
缺省情况下, IDS 的网络界面只能看到从主机进出的包 —— 这是非混杂模式。通过设置网络界面的混杂模式, IDS 可以监听到整个网络内所有的流量。这是基于网络地 IDS 工作的必要条件。交换式 HUB 防止主机监听网段内所有流量,但是很多交换机提供跨越端口来监视网络内所有的网络活动。
路由器 Routers
路由器是连接子网的设备,它在 OSI 七层模型的传输层和网络层工作。路由器的基本职能是为网络数据包到达目的地找到正确路由。许多路由器都有访问控制表( Access Control Lists (ACLs) )来过滤不期望的数据包。许多路由器的 * 志可以被 IDS 利用,提供关于阻止网络访问有价值的信息。
扫描器( Scanners )
扫描器是一种能够扫描网络或者主机漏洞的自动工具。像 IDS 一样,扫描器有很多种类。
网络扫描器( Network Scanners )
网络扫描器用来映射一个网络,找到网络上的所有主机。传统的方法使用 ICMP ping 来进行探测,但是这种方法容易被发现。有多种不同的方法来隐蔽网络扫描 , 像 ack 扫描和 fin 扫描。这些隐蔽扫描方法主要是利用不同操作系统对这些扫描方式的响应方式不同。
工具: nmap.
网络漏洞扫描器 Network Vulnerability Scanners
网络漏洞扫描器是网络扫描器的发展,可以检查目标主机的漏洞。***者和安全人员都利用网络漏洞扫描器作为探测工具。它很容易引起网络***检测系统的警报。有的网络漏洞扫描器主要扫描 web 服务器的漏洞,像 Whisker 甚至可以有一些的设置方法来避开 NIDS 的检测
产品: Retina 、 CyberCop Scanner
Scanner Category: 主机漏洞扫描器 Host Vulnerability Scanners
使用主机漏洞扫描器,特权用户可以从内部扫描主机,检查诸如密码强度、文件权限的安全策略方面的漏洞。它的扫描可以被 IDS, 尤其是 HIDS 探测到。 SecurityExpressions 是一个远程 Windows 漏洞扫描器,甚至可以自动修补系统漏洞。其它像 ISS 的数据库扫描器( ISS database scanner )可以扫描数据库漏洞。
脚本小子 Script Kiddies
脚本小子利用别人开发的漏洞利用脚本来达到自己的目的,而不是自己努力。有很多人轻视脚本小子的能力,甚至贬损他们。但是他们是一股不可小看的力量,他们就像持有×××的小孩,不需要理解弹道学或者去构筑坚固的炮台,但决不能低估他们。
躲避( Shunning )
“ 躲避 ” 是很多边缘设备的配置方法,目的是拒绝从不受欢迎的源地址来的各种数据包。有的网络甚至拒绝从某一特定国家来的流量。
特征( Signatures )
IDS 的核心是***特征, IDS 根据***特征产生事件触发。***特征的描述太短容易产生误报,太长则延缓 IDS 的响应速度。有人将 IDS 识别***特征的数量作为 IDS 质量的衡量标准。有的厂商用一条特征覆盖很多种***方法,而有的厂商则将其拆分为几种特征,假以宣传自己的产品可以识别更多的***,实则不然。
隐蔽( Stealth )
隐蔽模式使得 IDS 在对外界不可见的情况下正常工作。这种 IDS 大多数用在 DMZ 外,在防火墙的保护之外。它有自动响应 的缺点。
交换网络和高速网络给 NIDS 带来问题:一些 NIDS 在高速网络下工作不可靠,丢包率升高。交换网络不允许混杂模式网卡监听到网络内所有流量。而网络节点 IDS 将 NIDS 的功能分布到单个的网络节点,从而解决了高速和交换网络的问题。
虽然网络节点 IDS 与个人防火墙相近,但它们也有区别。对个人防火墙归类为 NNIDS ,在对连接企图将应用事件分析。例如在个人防火墙上报警 "attempted connection to port *****" , NNIDS 将根据 “whatever” ***特征识别为 “whatever” 探测。 NNIDS 将收集到的事件向中央控制台汇报。尽管有这些区别,但是有的个人防火墙厂商还是将其作为网络节点 IDS 推出。
产品: BlackICE Agent 、 Tiny CMDS.
个人防火墙 Personal Firewall
个人防火墙安装在个人操作系统上防止非法连接进出。它们能否有效保护主机免受***并不可靠。不要将它与网络节点 IDS 混淆。
例如: ZoneAlarm 、 Sybergen.
基于目标的 IDS ( Target-Based IDS )
这类 IDS 的概念不是很明确,不同的人有不同的理解。一种定义指的是文件完整性检查工具,而另一种是基于网络的 IDS ,可以侦测***特征保护网络。后一种定义的目标是避开不必要的检测,加速 IDS 。我个人希望了解每一种***而不考虑其成功与否。由于这个术语有太多的含义,应该避免使用它,以免混淆。
***检测工作组- IDWG ( Intrusion Detection Working Group (IDWG) )
IDWG 的工作目标是定义***检测和响应系统进行信息共享和交换,以及与管理系统交互所需的数据格式。 IDWG 与 IETF 其它工作组协同工作。
事件处理 Incident Handling
探测到***只是开始。更多的情况是,控制台操作员会经常接到警报,因此没有时间亲自跟踪每个事件,他们会对感兴趣的事件做上标志,以利于事件处理小组深入调查事件。经过最初响应之后,接下来需要处理的问题是深入调查、取证和法庭起诉工作。 Chris Jordan 的论文 "Analyzing IDS Data" 论述了 IDS 警报分析的前两个阶段。
事件响应( Incident Response )
对潜在事件的初始反应,然后依据事件处理程序操作。
隔离( Islanding )
隔离是把网络从 Internet 上隔离开来,这往往是迫不得已采取得办法,通常在遇到大规模病毒发作或者遇到很严重的***的情况下才采取隔离措施。
混杂模式 Promiscuous
缺省情况下, IDS 的网络界面只能看到从主机进出的包 —— 这是非混杂模式。通过设置网络界面的混杂模式, IDS 可以监听到整个网络内所有的流量。这是基于网络地 IDS 工作的必要条件。交换式 HUB 防止主机监听网段内所有流量,但是很多交换机提供跨越端口来监视网络内所有的网络活动。
路由器 Routers
路由器是连接子网的设备,它在 OSI 七层模型的传输层和网络层工作。路由器的基本职能是为网络数据包到达目的地找到正确路由。许多路由器都有访问控制表( Access Control Lists (ACLs) )来过滤不期望的数据包。许多路由器的 * 志可以被 IDS 利用,提供关于阻止网络访问有价值的信息。
扫描器( Scanners )
扫描器是一种能够扫描网络或者主机漏洞的自动工具。像 IDS 一样,扫描器有很多种类。
网络扫描器( Network Scanners )
网络扫描器用来映射一个网络,找到网络上的所有主机。传统的方法使用 ICMP ping 来进行探测,但是这种方法容易被发现。有多种不同的方法来隐蔽网络扫描 , 像 ack 扫描和 fin 扫描。这些隐蔽扫描方法主要是利用不同操作系统对这些扫描方式的响应方式不同。
工具: nmap.
网络漏洞扫描器 Network Vulnerability Scanners
网络漏洞扫描器是网络扫描器的发展,可以检查目标主机的漏洞。***者和安全人员都利用网络漏洞扫描器作为探测工具。它很容易引起网络***检测系统的警报。有的网络漏洞扫描器主要扫描 web 服务器的漏洞,像 Whisker 甚至可以有一些的设置方法来避开 NIDS 的检测
产品: Retina 、 CyberCop Scanner
Scanner Category: 主机漏洞扫描器 Host Vulnerability Scanners
使用主机漏洞扫描器,特权用户可以从内部扫描主机,检查诸如密码强度、文件权限的安全策略方面的漏洞。它的扫描可以被 IDS, 尤其是 HIDS 探测到。 SecurityExpressions 是一个远程 Windows 漏洞扫描器,甚至可以自动修补系统漏洞。其它像 ISS 的数据库扫描器( ISS database scanner )可以扫描数据库漏洞。
脚本小子 Script Kiddies
脚本小子利用别人开发的漏洞利用脚本来达到自己的目的,而不是自己努力。有很多人轻视脚本小子的能力,甚至贬损他们。但是他们是一股不可小看的力量,他们就像持有×××的小孩,不需要理解弹道学或者去构筑坚固的炮台,但决不能低估他们。
躲避( Shunning )
“ 躲避 ” 是很多边缘设备的配置方法,目的是拒绝从不受欢迎的源地址来的各种数据包。有的网络甚至拒绝从某一特定国家来的流量。
特征( Signatures )
IDS 的核心是***特征, IDS 根据***特征产生事件触发。***特征的描述太短容易产生误报,太长则延缓 IDS 的响应速度。有人将 IDS 识别***特征的数量作为 IDS 质量的衡量标准。有的厂商用一条特征覆盖很多种***方法,而有的厂商则将其拆分为几种特征,假以宣传自己的产品可以识别更多的***,实则不然。
隐蔽( Stealth )
隐蔽模式使得 IDS 在对外界不可见的情况下正常工作。这种 IDS 大多数用在 DMZ 外,在防火墙的保护之外。它有自动响应 的缺点。
转载于:https://blog.51cto.com/cwfsxlove/48371
扫一扫
1579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
