***檢測(cè)與網(wǎng)絡(luò)審計(jì)產(chǎn)品是孿生兄弟嗎？<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Jack? zhai

?

***檢測(cè)系統(tǒng)(IDS)是網(wǎng)絡(luò)安全監(jiān)控的重要工具，是網(wǎng)絡(luò)“街道”上的巡警，時(shí)刻關(guān)注著網(wǎng)絡(luò)的異常行為；網(wǎng)絡(luò)審計(jì)是用戶行為的記錄，是網(wǎng)絡(luò)“大樓”內(nèi)的錄像機(jī)，記錄各種行為的過(guò)程，作為將來(lái)審核“你”的證據(jù)。 我們常見(jiàn)的樓宇監(jiān)控，在保安值班室內(nèi)有一個(gè)大電視墻，工作人員實(shí)時(shí)在看的，屬于IDS類(lèi)型，監(jiān)控系統(tǒng)需要人的實(shí)時(shí)參與，發(fā)現(xiàn)異常，及時(shí)報(bào)警、處理。公共場(chǎng)合內(nèi)銀行的ATM機(jī)前有錄像系統(tǒng)，屬于審計(jì)類(lèi)型的產(chǎn)品，當(dāng)需要查看是誰(shuí)在什么時(shí)間進(jìn)行的操作時(shí)，調(diào)出時(shí)的記錄，進(jìn)行取證。 從表面上看，兩個(gè)產(chǎn)品都采用了網(wǎng)絡(luò)的“攝像”，對(duì)網(wǎng)絡(luò)信息抓取并分析，其實(shí)兩個(gè)產(chǎn)品技術(shù)出自“同源”---系統(tǒng)的日志分析，好象一對(duì)孿生的兄弟；“龍生九子，各有不同”，后天環(huán)境的不同，兩個(gè)產(chǎn)品功能屬性大不相同。

?

一、????????????? “遺傳”特性 IDS需要對(duì)***行為及時(shí)檢測(cè)并做出判斷；審計(jì)需要對(duì)用戶行為全程記錄，兩者好象“風(fēng)牛馬不相及”，要說(shuō)相似，是因?yàn)樗麄z共同的“祖先”，從對(duì)主機(jī)日志的分析技術(shù)發(fā)展起來(lái)的，隨著安全目標(biāo)的不同，一個(gè)注重事件的“關(guān)聯(lián)分析”，一個(gè)注重事件的事后重現(xiàn)，雖然后來(lái)兩者差距越來(lái)越大，但其技術(shù)與產(chǎn)品還有很多相似點(diǎn)，下面我們總結(jié)了幾點(diǎn)： 1)?????????????? 產(chǎn)品設(shè)計(jì)架構(gòu) IDS與審計(jì)產(chǎn)品都是安全分析類(lèi)產(chǎn)品，采用“并聯(lián)”在網(wǎng)絡(luò)上的方式，不影響業(yè)務(wù)的性能。在產(chǎn)品的設(shè)計(jì)架構(gòu)上基本相同，分為控制中心、數(shù)據(jù)庫(kù)、控制臺(tái)、數(shù)據(jù)收集引擎幾個(gè)部分，采用分布式的部署方式。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 2)?????????????? 信息獲取 n??????????????? 從網(wǎng)絡(luò)上信息收集方式 典型的方式就是網(wǎng)絡(luò)鏈路的端口鏡像(若是光鏈路也可以用分光設(shè)備)，就是把正常網(wǎng)絡(luò)的通訊信號(hào)(數(shù)據(jù))復(fù)制一份給鏡像設(shè)備。圖中藍(lán)線是IDS的信息收集，紅線是審計(jì)的信息收集。多對(duì)一的鏡像也可以根據(jù)產(chǎn)品的部署情況采用單獨(dú)的數(shù)據(jù)收集引擎，根據(jù)流量采用一對(duì)一鏡像，或多對(duì)一鏡像。 n? 從主機(jī)上信息收集方式 在主機(jī)上收集信息一般要安裝Agent軟件，也可以通過(guò)Syslog、SNMP等通訊協(xié)議從主機(jī)中獲取。主機(jī)IDS技術(shù)的早期也是對(duì)系統(tǒng)的日志進(jìn)行分析，后來(lái)發(fā)展到對(duì)主機(jī)的進(jìn)程、狀態(tài)進(jìn)行監(jiān)控；主機(jī)的系統(tǒng)操作日志、安全日志，數(shù)據(jù)庫(kù)上的操作日志，也同樣是審計(jì)系統(tǒng)的數(shù)據(jù)來(lái)源。 3)??????? 業(yè)務(wù)識(shí)別技術(shù) 收集到的信息需要進(jìn)一步處理，從網(wǎng)絡(luò)鏡像來(lái)的數(shù)據(jù)包，首先要還原成通訊協(xié)議，定位到具體的通訊連接，也就是我們常說(shuō)的業(yè)務(wù)識(shí)別技術(shù)。IDS與審計(jì)的業(yè)務(wù)識(shí)別技術(shù)基本是相同的。 無(wú)論是分析是否為***，還是要記錄用戶的行為過(guò)程，識(shí)別出用戶具體在做什么都是必然的。對(duì)于標(biāo)準(zhǔn)協(xié)議的識(shí)別與匹配相對(duì)是容易的，但是很多應(yīng)用采用了加密，或隱藏在其他的通訊協(xié)議中，如P2P等，要識(shí)別起來(lái)就比較麻煩，在流量管理技術(shù)中識(shí)別一般采用特征匹配技術(shù)，但是應(yīng)用的特征多，而且變化快，對(duì)于IDS設(shè)備來(lái)說(shuō)，面對(duì)的***是未知的，可能是通過(guò)各種通訊手段的，所以對(duì)特征的識(shí)別要求較高一些；而對(duì)于審計(jì)產(chǎn)品來(lái)說(shuō)，要審計(jì)的應(yīng)用是已知的，系統(tǒng)不提供的服務(wù)也沒(méi)有必要進(jìn)行審計(jì)，所以對(duì)特征識(shí)別需要簡(jiǎn)單一些。

?

二、????????????? “變異”特性 遺傳保留的了兩者的框架基礎(chǔ)，變異產(chǎn)生了不同的產(chǎn)品應(yīng)用。IDS與審計(jì)是為了不同的安全防護(hù)目的而設(shè)計(jì)的，“后天的”變化是必然的，其實(shí)他們根本就是不同類(lèi)別的安全產(chǎn)品，不是“一條路上的人”。IDS設(shè)備作為安全監(jiān)控的重要手段，審計(jì)是事后取證的安全產(chǎn)品。盡管兩個(gè)產(chǎn)品長(zhǎng)得很像(產(chǎn)品部署形態(tài))，但其內(nèi)部是大不同的： 1、? 關(guān)鍵安全技術(shù)不同 n???????? IDS是監(jiān)控產(chǎn)品，重點(diǎn)是及時(shí)分析出***行為，其關(guān)鍵的技術(shù)是對(duì)***的識(shí)別，也就是行為匹配分析技術(shù)，無(wú)論是用戶行為的匹配，還是統(tǒng)計(jì)異常的方法，都要在最短的時(shí)間內(nèi)做出判斷，是***則動(dòng)作，不是***則放過(guò)。為了避免“敵人”漏網(wǎng)，一般對(duì)“疑似”的病例一律通告，最終的判斷可以由人來(lái)決定。 n???????? 審計(jì)產(chǎn)品的重點(diǎn)是日后的重現(xiàn)，不僅是行為動(dòng)作，還有具體細(xì)節(jié)，所以審計(jì)產(chǎn)品對(duì)收集的數(shù)據(jù)整理后，首要的問(wèn)題是如何存儲(chǔ)，網(wǎng)絡(luò)中的流量是龐大的，所以什么都存的話，不僅量大，而且存儲(chǔ)的時(shí)間也緊張，比如公安的監(jiān)控錄像要求就是存三個(gè)月就可以了，但業(yè)務(wù)的審計(jì)可能需要幾年、甚至幾十年，所以如何規(guī)范數(shù)據(jù)，如何存儲(chǔ)是審計(jì)產(chǎn)品的一個(gè)關(guān)鍵。另外對(duì)于過(guò)程重現(xiàn)來(lái)說(shuō)，在龐大的數(shù)據(jù)里搜尋到需要的、具體某人的、特定的行為，在把他重放一遍，這個(gè)過(guò)程本身就已經(jīng)比較復(fù)雜了。 2、? 對(duì)收集信息的關(guān)注點(diǎn)不同 同樣是網(wǎng)絡(luò)鏡像的數(shù)據(jù)，IDS在識(shí)別出是誰(shuí)后，關(guān)注的是他的行為是否有***意圖，也就是他動(dòng)作的“合法性”，IDS是面對(duì)外來(lái)人的，所以更關(guān)心進(jìn)門(mén)的“人”是否具有合法的身份，對(duì)做的工作是否有合法的授權(quán)，至于他如何做的，IDS就不關(guān)心了；而審計(jì)產(chǎn)品是面對(duì)內(nèi)部人員的，不到具體人的審計(jì)意義是不大的，所以要記錄他具體干了些什么，審計(jì)的是他工作的內(nèi)容是否合法，不僅知道他怎么進(jìn)的大門(mén)，而且知道他在房間了都具體做了什么事情，怎么做的…… 3、? 對(duì)通訊協(xié)議的識(shí)別是不同的 IDS檢測(cè)外來(lái)的***，所以要關(guān)注所有可能的***隱藏通訊方式，要識(shí)別的應(yīng)用是多方面的，尤其是隱藏在通用協(xié)議中的“私有”通訊，應(yīng)為隱藏自己的真實(shí)目的是***者經(jīng)常用的手段。但審計(jì)產(chǎn)品對(duì)是企業(yè)內(nèi)部關(guān)注的業(yè)務(wù)行為進(jìn)行審計(jì)，如上網(wǎng)行為、數(shù)據(jù)庫(kù)操作等，即使是第三方的運(yùn)維人員，其工作方式也可以通過(guò)制度等管理手段進(jìn)行限制為有限的方式，識(shí)別的協(xié)議有限，但對(duì)具體的“動(dòng)作”要識(shí)別的深入，如數(shù)據(jù)庫(kù)審計(jì)要審計(jì)到具體數(shù)據(jù)庫(kù)操作命令的細(xì)節(jié)。IDS注重識(shí)別的廣度，非標(biāo)準(zhǔn)的通訊協(xié)議需要用“特征”識(shí)別；審計(jì)產(chǎn)品注重識(shí)別的深度，對(duì)于加密的通訊，可以在加密的一方端點(diǎn)直接采用非密文審計(jì)。

?

三、????????????? “兄弟聯(lián)手”策略 IDS與審計(jì)產(chǎn)品都采用了“旁路”的鏡像方式部署，而且關(guān)心的網(wǎng)絡(luò)鏈路大多也是相同的，所以當(dāng)客戶分別部署監(jiān)控與審計(jì)安全產(chǎn)品時(shí)，經(jīng)常出現(xiàn)的一個(gè)現(xiàn)象是：一個(gè)端口要鏡像給兩個(gè)目標(biāo)端口，分別到不同數(shù)據(jù)收集引擎，而且這兩個(gè)引擎的前期工作原理還非常接近。 在分布式的產(chǎn)品結(jié)構(gòu)中，數(shù)據(jù)收集引擎與處理中心是分離的，我們可以把IDS與審計(jì)產(chǎn)品的數(shù)據(jù)收集引擎部分功能分離，進(jìn)而合并兩個(gè)引擎為一個(gè)。這樣做的好處，其一是減少了業(yè)務(wù)鏈路鏡像出來(lái)的端口數(shù)。其二是減少了網(wǎng)絡(luò)上引擎設(shè)備的數(shù)量。其三是把鏡像分析的數(shù)據(jù)引擎通用化，可以減低產(chǎn)品的成本，也方便未來(lái)新鏡像系統(tǒng)的部署。 小結(jié)：安全監(jiān)控與審計(jì)是網(wǎng)絡(luò)安全建設(shè)中不可缺少的兩個(gè)方面，無(wú)論是公安部的信息系統(tǒng)等級(jí)保護(hù)要求，還是×××的涉密信息系統(tǒng)技術(shù)要求，監(jiān)控與審計(jì)都是必選項(xiàng)，而且還有細(xì)顆粒度的要求。合理、有效地部署監(jiān)控與審計(jì)系統(tǒng)，對(duì)于保護(hù)你網(wǎng)絡(luò)的安全是重要的，而且是必要的。

轉(zhuǎn)載于:https://blog.51cto.com/zhaisj/77724

總結(jié)

以上是生活随笔為你收集整理的***检测与网络审计产品是孪生兄弟吗？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。