1. <small id="rw2jk"></small>
      網絡安全 頻道

      淺談大型網絡入侵檢測建設

        一、前言

        伊朗2010年被報出核工廠遭受“超級工廠”(Stuxnet)病毒攻擊,蠕蟲通過多個漏洞潛伏在工控系統近兩年未被發現。相信諸如上述案例中的伊朗核工廠,大多網絡中都會部署有各種形形色色的安全產品,殺毒軟件,waf或IDS。但為什么那么大范圍的攻擊卻依然久未被察覺?大型網絡怎樣才能更有效的做好入侵檢測呢?本文講介紹一些建設經驗。

        二、監測體系

        2.1、架構選擇

        常規的安全產品可能是一個殺毒軟件,一個IDS,一個WAF,這能解決一個單點安全問題,但如果沒有全局的信息匯聚與分析,很難實現對全局態勢的感知。

        云計算與云安全是常被提起的概念,在大型網絡中,因應用服務器對于性能消耗較為敏感,很多復雜的安全分析邏輯不易被業務部門接受,部署于主機和網絡上的設備只被限制在實現提取數據功能。分析與計算在后端也就是所謂的云端來實現。

        同時,采集與計算的分離帶來了諸多優點:

        1. 假設(幾乎是必然出現)單點系統被黑客攻陷,安全策略不易被逆向與竊取,避免因策略失竊帶來的,對手針對性研究繞過手法;

        2. 可快速更新檢測策略,減少對各子節點和探測設備的變更,避免干擾業務系統的穩定;

        3. 原始數據的短時存儲,便于對事件演變過程的重現,方便追溯審計,以及預研新檢測邏輯的驗證。

        2.2、功能模塊

        大型網絡的安全監測產品通常有各類SOC系統,分布式安全產品,以及云安全產品。產品形式千變萬化,但功能模塊這里將其簡化如下歸納:

      淺談大型網絡入侵檢測建設
      圖 1 入侵檢測體系模塊

        2.3、態勢感知能力

        通常SOC系統會收集各種日志,各種NIDS\HIDS 都有數據采集功能。盡可能多的采集數據對于入侵分析是很有幫助的。

        但我們面對入侵事件時,常常面臨兩種尷尬局面:

        2.3.1、數據很少:僅有部分系統\應用默認日志

        如偵探破案一般,發現入侵事件最重要的是有證據。通常系統默認的日志等數據無法滿足入侵事件分析需求,必須開發專門的探測器。先需要梳理場景對抗需求,搞清楚檢測某類攻擊所需數據類別與緯度,并將此作為數據采集系統的開發需求。

      淺談大型網絡入侵檢測建設
      圖 2數據需求

        2.3.2、數據很多:大型網絡中各類數據很多,甚至多至無法記錄。

        數據并非越多越好,特別是大型網絡的海量數據,如全部匯集存儲是難以支撐的。且大量的噪音數據也只會帶來硬件與人力成本的增加。真正流入最后存儲與分析系統的數據,必然是經過精簡與格式化之后的。

      淺談大型網絡入侵檢測建設
      圖3 數據精簡

        2.4、數據分析

        有了數據不等于有檢測能力,首先第一個問題就是如何理解你獲得的數據,這就是數據格式化。

        如何定義格式化數據:

        1) 分析規則決定數據緯度

        2) 關聯邏輯定義字段擴展

        有了格式化好的數據,就實現了數據自動化分析的第一步,接下來才是分析引擎與規則建設。

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院