与同仁讨论,并经过自己的思考,觉得还是将第一种检测机制拆分成两个更加合理。也就是将“日志记录”模式从“旁路监听”模式中分离出来。那么我们就看到了4大检测机制。当然,如果将“汇总分析”也归纳进去的话,那就是五大检测机制了。
1. 旁路监听
2. 日志记录
3. 主动扫描
4. 举报和投票
5. 汇总分析
对于这五种检测机制,可以将前四种理解为检测的数据发现而第五种作为检测的综合决断。
在监控模型中的位置
作为一个监控体系,检测能力是必须的。右图中是一个一般监控体系的示意图。一个监控的过程无怪乎是采集数据、分析决断、做出响应;这些过程都是以知识库为基础,并且在配置管理的支持下;分析的过程和结果否非常需要用可视化的方式表达出来。
如果将五种检测机制放到这个模型中,可以看到,旁路监听、日志记录、主动扫描、举报和投票都是获得数据的方式,应当放在模型的最左方;而汇总分析就在模型的中间了。
部署的位置
|
旁路监听
|
一般部署在网络的上
部署在服务传递的路径上
|
|
日志记录
|
一般部署在设备上,特别是服务器上,由系统和应用自己记录
也就是部署在服务的服务端上(当然,也可以部署在客户端的软件中)
|
|
主动扫描
|
一般部署在管理者的终端上
也就是部署在服务的第三方管理者的位置
|
|
举报投票
|
一般都由用户发起,由人发起
也就是“部署”在服务的需求者
|
|
汇总分析
|
部署在监控检测管理者的中央分析系统中
|
检测的判断机理
|
旁路监听
|
由原始数据变成有意义的检测内容需要先做协议分析等预处理工作;之后,再将检测数据与特征数据库或者异常判定规则进行对比。
|
|
日志记录
|
日志记录都是由系统和应用自己记录的,所以可以直接记录有意义的数据和字段。在记录的时候,就已经可以做出初步的判断了。当然,更加复杂的“异常”判断还要提交到综合分析环节才能判定。
|
|
主动扫描
|
主动扫描是一种刺探方式。发出数据、做出请求,然后看看系统的反馈,依照反馈的情况作出判定。也要依赖特征库。
|
|
举报投票
|
这里的判断基本上依赖于人的感觉和判断。
|
|
汇总分析
|
各方面数据汇总在一起,分析判断需要知识库作为第一步初选,然后再由人自己作出分析判断。
|
典型的产品和技术
|
旁路监听
|
IDS、IPS、流量异常检测-旁路
|
|
日志记录
|
服务器的LOG、客户端管理的日志记录、各种应用系统的LOG、流量异常检测-sflow/netflow
|
|
主动扫描
|
漏洞扫描器、论坛搜索
|
|
举报投票
|
垃圾邮件举报、恶意插件选择
|
|
汇总分析
|
SOC、监控平台、审计平台、网络管理
|
检测的对象和内容
|
旁路监听
|
旁路听的常常是一个过程
一个事件常常成为检测的对象
|
|
日志记录
|
日志是记录在服务器上发生的一些事情,也是对事件的一种检测
|
|
主动扫描
|
扫描一般会有一个被扫描的客体,比如:一个主机操作系统、一个网站等等;
而扫描出来的结果常常是这个客体所处的状态
|
|
举报投票
|
对于呈现在眼前的东西,经过人的判断后,提交举报,这里检测出来的是结果和对于结果的一个判断
既可以使一个发生的事件也可以是对于某些客体的状态判断
|
|
汇总分析
|
这里当然就是一个综合的了
|
典型的弱点
|
旁路监听
|
旁路监听难免受到流量性能的影响,丢包在所难免
流过的流量非常多样,从中提取有用的部分较难,非常容易受到各种因素的干扰
|
|
日志记录
|
日志系统都要嵌入到系统本身,会影响到系统本身的运行正常和性能
由于日志记录方式在系统开始的时候就已经确定,新情况的表达受到限制
|
|
主动扫描
|
主动扫描既然是一种刺探方式,就可能将系统刺伤。
主动扫描的过程也可能会影响到性能
主动扫描也容易被其他检测机制误判成为攻击
|
|
举报投票
|
靠群众的抉择,这里面就很少考虑专业性了
|
|
汇总分析
|
最大的弱点就是“复杂”。而作为中央汇总分析,不复杂不全面又不可以。
|
检测技术是安全三大技术中的一个,其本身和攻击技术和结构技术的相互影响也从某种程度上决定了信息安全产业的发展。对于检测技术的持续研究是非常必要。对于检测技术觉得已经成熟、已经过时的想法是非常错误的。一个典型的观点就是“IDS无用论”,这是对于检测技术内在机制的不理解所带来的误解。希望业界多多重视检测技术的研究和应用。
