　　
　　基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后，许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
　　
　　3.3.1.3 将基于网络和基于主机的入侵检测结合起来：
　　基于网络和基于主机的IDS方案都有各自特有的优点，并且互为补充。因此，下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合，必将大幅度提高网络对攻击和错误使用的抵抗力，使安全策略的实施更加有效，并使设置选项更加灵活。
　　
　　有些事件只能用网络方法检测到，另外一些只能用主机方式检测到，有一些则需要二者共同发挥作用，才能检测到。
　　
　　3.3.2 推荐的安全产品—ISS的入侵检测产品RealSecure
　　ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络安全轮回监控，使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
　　
　　ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。
　　
　　ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发现对主机的入侵，RealSecure可以马上切断的用户进程，和做出各种安全反应。
　　
　　ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能，也具备部分Network Sensor的功能，为灵活的安全配置提供了必要的手段。
　　
　　RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制，各个监控器发现的安全事件都实时地报告控制台。
　　
　　ISS RealSecure是一个完整的，一致的实时入侵监控体系。
　　
　　ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，并可采取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求书》所提要求：
　　
　　支持统一的管理平台，可实现集中式的安全监控管理.
　　
　　RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制，各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点，实现对各结点的集中监控管理。例如，从上海IDC的RealSecure Workgroup Manager，对其下其它城市的 IDC 进行统一的Sensor监控策略配置，Sensor所发现的安全事件将实时地报告给Manager；对各个Sensor安全特征库的升级也可以从Manager统一分发完成。
　　
　　　
　　图RS-1 RealSecure Workgroup Manager的工作界面
　　
　　①主菜单和工具栏
　　
　　②监控安全事件的综合窗口
　　
　　③按安全级别分成高、中、低三个事件窗口
　　
　　④列出所有被管理的网络Sensor和系统Sensor
　　
　　⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口
　　
　　自动识别类型广泛的攻击:
　　
　　网络Sensor能够识别以下种类的攻击和误用行为：
　　　
　　系统Sensor能够监控并识别的攻击类型有：
　　　
　　支持按行为特征的入侵检测:
　　　
　　图RS-2 RealSecure Sensor工作过程示意图
　　如图所示，Realsecure的入侵检测主要是依据用户事先定义的监控策略，将发生的入侵事件与已有的安全事件特征库进行特征匹配，匹配成功，则认为是有威胁事件发生，采取适当的响应动作。
　　
　　具体分析过程的输入包括：
　　
　　·　　　　用户或者安全管理人员定义的配置规则；
　　
　　·　　　　以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包；对于OS Sensor来讲原始数据是操作系统日志项。
　　
　　具体分析过程的输出包括：
　　
　　·　　　　系统发起的对安全事件的响应过程；
　　
　　·　　　　监控器在收到数据后，将数据和特征库进行对比，如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组，而且是目前业界最全面的攻击特征数据库。另外，Network Sensor和System Sensor都支持用户自定义特征。
　　
　　·　　　　Network Sensor检测过程--安装Realsecure Network Sensor主机的网络适配卡连接到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式，可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时，会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪，这样跨越了许多包的攻击特征就可以被检测出来。因此，当一个“感兴趣事件”被检测到时，Realsecure会采取合适的动作。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] 下一页

上一篇:IDC 网络部分设计方案1

下一篇:Cisco解决方案在中望公司内部网中的应用

IDC 网络与系统安全部分设计方案相关文章：

·3DS Max 7卧室效果图设计：建模篇

·XP系统运行慢？小编自用7招解决

·将系统装到U盘中如何自制XP@USB启动盘

·不用重装XP系统就可以解决全部故障

·《边看边打赚大奖－－迅雷宽频》部分问题及答案

·校园网组建方案

·学生成绩管理系统实习

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·施工与工程组织方案

·Vista系统使用技巧总结

IDC 网络与系统安全部分设计方案相关软件：

·网络常见问题与故障1000例

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·成功少儿培养方案（上中下）高清晰PDF电子书

·Photoshop CS中文版平面设计师标准案例教程

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot