***檢測與網絡審計產品是孿生兄弟嗎？<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Jack? zhai

?

***檢測系統(IDS)是網絡安全監控的重要工具，是網絡“街道”上的巡警，時刻關注著網絡的異常行為；網絡審計是用戶行為的記錄，是網絡“大樓”內的錄像機，記錄各種行為的過程，作為將來審核“你”的證據。 我們常見的樓宇監控，在保安值班室內有一個大電視墻，工作人員實時在看的，屬于IDS類型，監控系統需要人的實時參與，發現異常，及時報警、處理。公共場合內銀行的ATM機前有錄像系統，屬于審計類型的產品，當需要查看是誰在什么時間進行的操作時，調出時的記錄，進行取證。 從表面上看，兩個產品都采用了網絡的“攝像”，對網絡信息抓取并分析，其實兩個產品技術出自“同源”---系統的日志分析，好象一對孿生的兄弟；“龍生九子，各有不同”，后天環境的不同，兩個產品功能屬性大不相同。

?

一、????????????? “遺傳”特性 IDS需要對***行為及時檢測并做出判斷；審計需要對用戶行為全程記錄，兩者好象“風牛馬不相及”，要說相似，是因為他倆共同的“祖先”，從對主機日志的分析技術發展起來的，隨著安全目標的不同，一個注重事件的“關聯分析”，一個注重事件的事后重現，雖然后來兩者差距越來越大，但其技術與產品還有很多相似點，下面我們總結了幾點： 1)?????????????? 產品設計架構 IDS與審計產品都是安全分析類產品，采用“并聯”在網絡上的方式，不影響業務的性能。在產品的設計架構上基本相同，分為控制中心、數據庫、控制臺、數據收集引擎幾個部分，采用分布式的部署方式。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 2)?????????????? 信息獲取 n??????????????? 從網絡上信息收集方式 典型的方式就是網絡鏈路的端口鏡像(若是光鏈路也可以用分光設備)，就是把正常網絡的通訊信號(數據)復制一份給鏡像設備。圖中藍線是IDS的信息收集，紅線是審計的信息收集。多對一的鏡像也可以根據產品的部署情況采用單獨的數據收集引擎，根據流量采用一對一鏡像，或多對一鏡像。 n? 從主機上信息收集方式 在主機上收集信息一般要安裝Agent軟件，也可以通過Syslog、SNMP等通訊協議從主機中獲取。主機IDS技術的早期也是對系統的日志進行分析，后來發展到對主機的進程、狀態進行監控；主機的系統操作日志、安全日志，數據庫上的操作日志，也同樣是審計系統的數據來源。 3)??????? 業務識別技術 收集到的信息需要進一步處理，從網絡鏡像來的數據包，首先要還原成通訊協議，定位到具體的通訊連接，也就是我們常說的業務識別技術。IDS與審計的業務識別技術基本是相同的。 無論是分析是否為***，還是要記錄用戶的行為過程，識別出用戶具體在做什么都是必然的。對于標準協議的識別與匹配相對是容易的，但是很多應用采用了加密，或隱藏在其他的通訊協議中，如P2P等，要識別起來就比較麻煩，在流量管理技術中識別一般采用特征匹配技術，但是應用的特征多，而且變化快，對于IDS設備來說，面對的***是未知的，可能是通過各種通訊手段的，所以對特征的識別要求較高一些；而對于審計產品來說，要審計的應用是已知的，系統不提供的服務也沒有必要進行審計，所以對特征識別需要簡單一些。

?

二、????????????? “變異”特性 遺傳保留的了兩者的框架基礎，變異產生了不同的產品應用。IDS與審計是為了不同的安全防護目的而設計的，“后天的”變化是必然的，其實他們根本就是不同類別的安全產品，不是“一條路上的人”。IDS設備作為安全監控的重要手段，審計是事后取證的安全產品。盡管兩個產品長得很像(產品部署形態)，但其內部是大不同的： 1、? 關鍵安全技術不同 n???????? IDS是監控產品，重點是及時分析出***行為，其關鍵的技術是對***的識別，也就是行為匹配分析技術，無論是用戶行為的匹配，還是統計異常的方法，都要在最短的時間內做出判斷，是***則動作，不是***則放過。為了避免“敵人”漏網，一般對“疑似”的病例一律通告，最終的判斷可以由人來決定。 n???????? 審計產品的重點是日后的重現，不僅是行為動作，還有具體細節，所以審計產品對收集的數據整理后，首要的問題是如何存儲，網絡中的流量是龐大的，所以什么都存的話，不僅量大，而且存儲的時間也緊張，比如公安的監控錄像要求就是存三個月就可以了，但業務的審計可能需要幾年、甚至幾十年，所以如何規范數據，如何存儲是審計產品的一個關鍵。另外對于過程重現來說，在龐大的數據里搜尋到需要的、具體某人的、特定的行為，在把他重放一遍，這個過程本身就已經比較復雜了。 2、? 對收集信息的關注點不同 同樣是網絡鏡像的數據，IDS在識別出是誰后，關注的是他的行為是否有***意圖，也就是他動作的“合法性”，IDS是面對外來人的，所以更關心進門的“人”是否具有合法的身份，對做的工作是否有合法的授權，至于他如何做的，IDS就不關心了；而審計產品是面對內部人員的，不到具體人的審計意義是不大的，所以要記錄他具體干了些什么，審計的是他工作的內容是否合法，不僅知道他怎么進的大門，而且知道他在房間了都具體做了什么事情，怎么做的…… 3、? 對通訊協議的識別是不同的 IDS檢測外來的***，所以要關注所有可能的***隱藏通訊方式，要識別的應用是多方面的，尤其是隱藏在通用協議中的“私有”通訊，應為隱藏自己的真實目的是***者經常用的手段。但審計產品對是企業內部關注的業務行為進行審計，如上網行為、數據庫操作等，即使是第三方的運維人員，其工作方式也可以通過制度等管理手段進行限制為有限的方式，識別的協議有限，但對具體的“動作”要識別的深入，如數據庫審計要審計到具體數據庫操作命令的細節。IDS注重識別的廣度，非標準的通訊協議需要用“特征”識別；審計產品注重識別的深度，對于加密的通訊，可以在加密的一方端點直接采用非密文審計。

?

三、????????????? “兄弟聯手”策略 IDS與審計產品都采用了“旁路”的鏡像方式部署，而且關心的網絡鏈路大多也是相同的，所以當客戶分別部署監控與審計安全產品時，經常出現的一個現象是：一個端口要鏡像給兩個目標端口，分別到不同數據收集引擎，而且這兩個引擎的前期工作原理還非常接近。 在分布式的產品結構中，數據收集引擎與處理中心是分離的，我們可以把IDS與審計產品的數據收集引擎部分功能分離，進而合并兩個引擎為一個。這樣做的好處，其一是減少了業務鏈路鏡像出來的端口數。其二是減少了網絡上引擎設備的數量。其三是把鏡像分析的數據引擎通用化，可以減低產品的成本，也方便未來新鏡像系統的部署。 小結：安全監控與審計是網絡安全建設中不可缺少的兩個方面，無論是公安部的信息系統等級保護要求，還是×××的涉密信息系統技術要求，監控與審計都是必選項，而且還有細顆粒度的要求。合理、有效地部署監控與審計系統，對于保護你網絡的安全是重要的，而且是必要的。

轉載于:https://blog.51cto.com/zhaisj/77724

總結

以上是生活随笔為你收集整理的***检测与网络审计产品是孪生兄弟吗？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。