管理IDS

在成功安装之后,将Web浏览器指向打开IDS,就会生成一个总结性的警告窗口。

如图:

图 1

在这里,入侵检测数据可被有效的分析。BASE提供了许多数据集成和展示工具。如图:

图 2

每一个警告都可被单独分析或以组群的方式分析。在上面的例子中,所生成的多数警告信息都包含了“假阳性”信息,因为这些警告是建立在正常通信的基础上的,这些通信可能包含有不正常的但绝对无害的特征。例如,在一个合法的远程桌面会话突然中断时,就会生成图image005.jpg中的警告,这可能是由于一个用户没有正确地关闭远程桌面应用程序所造成的。如图:

图 3

如前所述,IDS检测器应该放置在防火墙和局域网之间。假设这个警告指明这是一个非法攻击,那么我们就可以配置防火墙使之拒绝所有的来自那个源地址的数据通信。在防火墙配置完成之后,就不应该有新的警告日志,因此也就可以有效的清除威胁。

更上一层楼

构建一个具有基本功能的IDS检测器仅仅是第一步。一旦安装了IDS,管理人员就应当花费大量的时间来系统地研究和检查系统发出的警告和有关的性能。

在新威胁出现后,应当在系统中增加规则,用以与这些威胁的特征相匹配。Snort提供了一种订购服务,用以使用户以最少的花费访问新出现的规则,或者如果您是一位注册用户,可以享受30天的免费访问。Oinkmaster是一个非常出色的工具,它可以定期地更新规则。

此外,威胁的特征通常必须由人工创建。决定警告实际上是否属于正常的通信或属于一个真正的威胁是非常有必要的,仅仅因为某个通信产生大量的警告就禁止某个特征的通信是不明智的做法。现在e有许多开源工具,如MRTG、 Ntop、 Tcpdump等,将其与服务器和网络设备的日志分析一起协同工作,就可以提供能够简化IDS配置的相关数据。

Snort可以被部署在一个集中管理的分布式环境中,其中的多个检测器可以向单独的一个数据库服务器提交报告。在大型企业的网络中,这可以将有关的事件关联起来,又能够简化从网络上的多个节点分析信息的过程。注意:将Snort检测器部署在局域网的安全区域之间(例如,放置在管理服务器和本地用户之间)是不太长常见的做法。

一个基于特征的网络IDS仅仅是能够增强公司安全策略的一个工具而已。期望安装一个IDS(或者任何单独的安全方案)就会清除所有的威胁是不现实的。然而,深入研究开源世界的IDS产品可能会为我们带来直接的巨大回报。

相关文章】

  • Agent技术在分布式入侵检测系统中的应用
  • 如何用IDS入侵检测系统保卫数据库安全(图)
  • 入侵检测已死?应用时代的入侵检测技术探究


共2页: 上一页12下一页

相关内容