入侵检测与防御系统 尽管这些产品家族听起来似乎应该有一定的联系,但是它们几乎没有类似之处。入侵检测系统(IDS)在网络中的一个或多个端点检测数据流,并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统,以及鉴定和输入意图的数据存储。 入侵防御系统是一个内嵌的设备,可以阻止恶意信息流。
一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流,然后减轻该信息流的影响;比如,可以采用TCP重置的方法进而淹没发送器和接收器,或者改变防火墙或路由器中的访问列表规则。然而,同时代的IPS看起来都一样:内嵌的信息流评估器寻找一些理由,丢掉信息包或者重置连接。由于IPS搜索恶意信息流,因此与……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
入侵检测与防御系统
尽管这些产品家族听起来似乎应该有一定的联系,但是它们几乎没有类似之处。入侵检测系统(IDS)在网络中的一个或多个端点检测数据流,并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统,以及鉴定和输入意图的数据存储。
入侵防御系统是一个内嵌的设备,可以阻止恶意信息流。一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流,然后减轻该信息流的影响;比如,可以采用TCP重置的方法进而淹没发送器和接收器,或者改变防火墙或路由器中的访问列表规则。然而,同时代的IPS看起来都一样:内嵌的信息流评估器寻找一些理由,丢掉信息包或者重置连接。由于IPS搜索恶意信息流,因此与IDS相比,它区别性更少,并且更为仔细。
比如,在网络中,IDS可以检测到蠕虫病毒的在网络内部扩散,并且警戒这些企图。然而,IDS可以按照对系统受到攻击的企图,攻击对企业的重要程度,或者按照特定攻击企图的漏洞进行分类。IPS的复杂度并不相同。当IPS注意到一个明确的攻击企图时,就会简单地阻止这个攻击。受到攻击的系统是否存在漏洞、是否重要、甚至该系统是否存在,这些并不重要。IPS可以安全地阻止明确的攻击企图。然而,IPS一定不会阻止合法的信息流。因为IDS发出警报,而IPS阻止攻击,大多数IPS仅有几百个激活的特征(防止产生误报:将非法信息标记为合法信息),而IDS通常有成千个攻击特征。
并非每一个IPS都使用特征来确定攻击,并且甚至那些使用特征的IPS也可能会与其它技术相结合,帮助确定(并阻止)恶意信息流。NBAD系统的范围与IPS功能有一部分是重叠的,这些产品尽管使用不同的技术,但通常被认为可以解决类似的问题。
拒绝服务/分布式拒绝服务防御
IPS也是“以速率为基础的”,意味着它们寻找不正常的信息流。这些系统也是一DoS 和DDoS(拒绝服务攻击和分布式拒绝服务攻击)防御工具为标志的。基于速率的IPS可以与特徵式IPS相结合。然而,由于它们抵御不同类型的攻击,它们通常配置在网络的不同端口,并保护不同类型的系统。比如,以速率为基础的IPS最常用在大型网络服务器池或者大型电子邮件服务器的前端,而特征式IPS是直接配置在公司防火墙内部(或者作为企业防火墙的一部分),进而保护终端用户或者更多普通类型的服务器。
IPS和IDS执行异常行为检测,或者寻找特殊的病毒或网络钓鱼行为,它们就会作为防病毒或反网络钓鱼工具而出售。尽管这是这些产品中非常有用的一方面,但重要的是你不能IPS或IDS座位一种反恶意软件或垃圾邮件的“第一道防线”。
内容过滤
内容过滤工具可以使用大量不同的技术,其目的都是为了实现同一个目标:限制来自公司电脑上的有害内容。通常情况下,内容过滤几乎都用于网络浏览文本,尽管这个想法可以用其它方法来扩展。大多数内容过滤使用分类阻止的方法。内容过滤器可以在网络ULR离开公司网络之前进行监测,并且与大型数据库进行区分比较。URL可能作为未知返回来,或者可能适合于某个类别,比如“运动”或“赌博”。基于这种分类,网络管理者可能选择阻止信息流进入那些类型或者全部的网站,或者以一些其它更多的限制标准为基础,比如每天的时间或者用户认证信息。
实际上,一些内容过滤器着眼于捕获那些没有经过合理分类的信息流,并将其返回,进而试图分析这些内容。它的长度已经非常长了。举例来说,试图分析图片内容的产品已经上市,其特殊目的是为了阻止色情图片。
内容过滤并不是一个特别可靠的技术,并且一般不能阻止有特定用户下载不合适的信息。然而,它通常用于这样的环境中:需要某种过滤(比如初等学校),或者一些技术实施支持固定的安全或使用策略(比如在一个面向客户的零售设置中)。
应用程序控制与带宽管理
内容过滤对网络浏览的作用,和应用程序控制和带宽管理对所有其它类型的应用程序的作用是一样的。这两种技术都是用于阻止或者控制某种特定的网络使用类型的。应用程序控制通常是高级防火墙的一部分,而带宽管理则是集成到防火墙和其它基础体系设备里的,比如路由器,或者通过独立的设备便可处理。
与内容过滤相似,应用程序控制通常用于这样的环境中:技术实施必须带有一项规定的使用策略。比如,如果某个公司想要禁止使用Skype公司的voice-over-IP,应用程序控制就可以用于执行这个禁止令。
法规限制
从广义的范畴来讲,法规限制的概念是范围足够大,包括其所有条款。然而,边界的大多数法规控制可以分为三个字类:泄漏防护、审计和日志记录、以及流程稽核。
泄漏防护最难配置。泄漏防护工具借用了IDS的技术,通过在边界进行检测,试图监控和管理流出企业之外的敏感信息流。依靠调节体制,这个范围可以从受保护的个人信息(比如个人健康资料)到公司的敏感财务数据。
审计与日志记录工具是比较被动的,旨在帮助企业遵守审计访问的要求(比如公司的财务信息)或者保持长期的记录(比如企业外部的所有即时通讯信息流)。
流程稽核工具在确保企业外部连接遵循符合适用调节体制的策略方面更加活跃。最常见的例子就是对敏感信息加密。比如,一个流程稽核工具可以观测医院和保险公司之间的电子邮件通信,也可以阻止任何没有加密的通信,或者访问并对其按照策略的要求进行加密。
作者
相关推荐
-
人为错误会带来重大云安全风险
黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云 […]
-
警惕!垃圾邮件程序窃取7.11亿条记录
安全研究人员发现包含大量电子邮件地址和密码的垃圾邮件程序(spambot)列表,并称这表明我们需要更多地了解垃圾邮件程序业务。
-
Adobe为针对外事部门攻击的漏洞发紧急补丁
近几个月来,Adobe Flash零日漏洞时有出现,最新修补的漏洞已被用于盯准外事部门进行的攻击,该攻击通过网络钓鱼的形式展开,被称为“Operation Pawn Storm”。
-
XcodeGhost继续炸锅:39种应用遭感染什么的也是够了
研究机构发报告揭示中国用户广泛使用的iOS应用受到XcodeGhost恶意软件的感染,利用者可通过其窃取用户数据,甚至能通过网络钓鱼的方式获取用户的用户名和密码。