写在最前:
安全产品系列目录:目录&总述
IDS 入侵检测
intrusion detection system
NIDS对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备
主动的安全防护
没有阻拦能力,只能检测报警
产品简介
快速处理网络数据,准确发现各种攻击行为,识别安全威胁和风险,具有较高的入侵检出率
产品特点
- 全面的威胁检测
- 面向安全结论的报表
- 快速稳定的处理性能
- 用户上网行为检测
用户价值
- 攻击预警
- 快速定位威胁
- 可视化帮助判断判断与取证
- 提高合规性
1.组成部分
事件产生器(Event generators),它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器(Event analyzers),它经过分析得到数据,并产生分析结果。
响应单元(Response units ),它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
2.异常检测方法
1.基于贝叶斯推理检测法:是通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件。
2.基于特征选择检测法:指从一组度量中挑选出能检测入侵的度量,用它来对入侵行为进行预测或分类。
3.基于贝叶斯网络检测法:用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图,弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时,就允许将它吸收为证据,为其他的剩余随机变量条件值判断提供计算框架。
4.基于模式预测的检测法:事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了,只关心少数相关安全事件是该检测法的最大优点。
5.基于统计的异常检测法:是根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其保护去多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。
6.基于机器学习检测法:是根据离散数据临时序列学习获得网络、系统和个体的行为特征,并提出了一个实例学习法IBL,IBL是基于相似度,该方法通过新的序列相似度计算将原始数据(如离散事件流和无序的记录)转化成可度量的空间。然后,应用IBL学习技术和一种新的基于序列的分类方法,发现异常类型事件,从而检测入侵行为。其中,成员分类的概率由阈值的选取来决定。
7.数据挖掘检测法:数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在,审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的,所以将数据挖掘技术应用于入侵检测中,可以从审计数据中提取有用的知识,然后用这些知识区检测异常入侵和已知的入侵。采用的方法有KDD算法,其优点是善于处理大量数据的能力与数据关联分析的能力,但是实时性较差。
8.基于应用模式的异常检测法:该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较,从而发现异常行为。
9.基于文本分类的异常检测法:该方法是将系统产生的进程调用集合转换为“文档”。利用K邻聚类文本分类算法,计算文档的相似性。
3.误用检测方法
1.模式匹配法:是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较,从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担,有较高的检测率和准确率。
2.专家系统法:这个方法的思想是把安全专家的知识表示成规则知识库,再用推理算法检测入侵。主要是针对有特征的入侵行为。
3.基于状态转移分析的检测法:该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为,防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中,一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。
4.部署模式
旁路部署
IPS 入侵防御
Intrusion-prevention system
能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为
位于防火墙和网络的设备之间,是对防火墙的补充,
在ISO/OSI网络层次模型中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用,IPS填补了4层和5层的空白
看起来是IDS的升级版,但对网络要求高的会选择IDS,因为IDS旁路部署只检测,不会对网络造成影响,IPS需要串行连接检测数据,可能造成一定延时。
IPS有阻断功能,如果发生误报,IDS可以快速解决并不会产生影响,IPS可能产生问题(断网,封号…),影响工作
产品简介
发现入侵攻击,而且能自动化、实时的执行防御策略,有效保障信息系统安全
产品特点
- 全面的攻击检测能力
- 动态的异常流量管理,精确的带宽管理功能
- 实时显示威胁和攻击
- 发现威胁,自动执行防御策略
用户价值
- 提升安全性和合规性
- 自动防御,减少操作和损失
- 高回报率,提高工作效率
1.部署模式
部署在服务器区域前端,或边界处(如内外网边界,DMZ和trust之间等,一般不止一台)
透明模式(串行进去方便检测)
也可以是路由模式(但若出现故障,会导致断网,透明模式部署的话,一般会有bypass机制,只是失去防御功能功能而不会导致断网)
生产厂商
网络入侵检测NIDS/网络入侵防御NIPS:
启明星辰、绿盟科技、网御星云、奇安信、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全、安数云、上元信安、成都世纪顶点、网御科技、中睿天下、华诺科技、盛邦安全(WebRay)、六方云
无线入侵检测/防御
探测非法无线设备,检测或阻止从无线端侵入,保护无线边界安全
产品简介
可以精准识别攻击行并快速对威胁进行响应,不间断地对无线网络进行监测并将无线入侵拒之门外
无线边界同样是边界的一部分,并且越来越需要重视,各厂商都做一点,但又不多
产品特点
- 实时监测
- 精确阻断
- 黑白名单控制
- 定位追踪
- 智能告警
- 不易被发现
用户价值
- 提高了无线边界的安全性
- 降低了维护投资
生产厂商
无线入侵检测/防御:
奇安信、北京锐云通信、山东闻道通信、雨人网安、四维创智、锐捷、启明星辰、易路平安
