入侵检测的重要性

2019年1月22日

tomcat

黑帽黑客基地

当我们谈论入侵检测系统(IDS),管理自动假定它是所有的网络,组织和社会问题的解决方案。

大多数人对付这种技术就像是一个整体的解决方案。

这不考虑任何安全技术的一个很好的方法,它不喜欢的工作。

大多数没有认识到IDS“最初的设计和功能是保护组织的重要信息,从一个局外人。

但是,现在这是慢慢发生变化,随着越来越多的企业想要监视他们的”网络“,因为研究显示在多数所有损失商业部门参与内部人士。

他们现在想使用IDS在以下任意组合:追查业内人士介绍,抓住他们的行为,得到所需要的起诉证据,解雇他们,或把他们向法院提出起诉

要考虑的另一个因素是技术还是在起步阶段和入侵获得错过,因为它不成熟。

RAID99确定了以充分发挥其潜力作为取证工具,IDS的角色必须发展包括改善记录和取证工具的代收款使用这些信息作为证据。

新攻击技术,每个月都出来和IDS技术必须适应这种快速的变化。

所有已知的攻击,不断的修改渲染编纂新的攻击对R&D实验室一项艰巨的任务统计“签名”的名单。

目前网络入侵检测系统(NIDS)的产品(第一代)用主要被动的方法来收集通过协议分析数据通过观看网络上的流量。

大多数IDS已经建成签字基地和异常检测,提供的能力,以寻找在数据包中设置“模式”,但它们也可以被调整,以寻找的东西你永远不应该看到。

特定的字符串搜索签名的加入(即找保密),日志记录和TCP重置功能,极大地提高了IDS的能力作为检测和保护工具。

通过通用漏洞披露(CVE)所做的工作编委会是一个结果协同努力,这将促进和规范跨厂商的攻击名称和定义。

自实施(1999),大量的机构已经宣布,他们正在努力使自己的产品或数据库CVE兼容。

明天的IDS

由于NIDS的不能看到所有的交换式以太网的流量,许多公司正在转向基于主机的IDS(二代)。

这些产品可以使用更有效的入侵检测技术如启发式规则和分析。

根据传感器的复杂,但也可能学习和建立用户配置文件作为其行为库的一部分。

图表是什么在网络上正常的行为将在一段时间来完成。