一般的な紹介
•情報セキュリティへの伝統的なアプローチは、保護のための厳格なアクセス制御とデータの暗号化政策を採用したが、複雑なシステムでは、これらの戦略は十分ではない、我々は完全にシステムの安全性を保証することはできません。
•現在のセキュリティの脅威では、単純な攻撃が変化から得る利点の中で出てきます。「サイバー上の脅威」が多い1のミックス等しいウイルス、ハッカー、トロイの木馬、ボット、スパイウェアやその他の危険の統合があり、そのため従来の抗ウイルスまたは抗黒の技術に依存することは、多くの場合、抵抗することは困難です。
•ハッカー、システムやソフトウェアの脆弱性を利用する悪意のある内部の従業員、侵入サーバー、ビジネス・クリティカルな企業データのセキュリティに深刻な脅威;
•DDOS攻撃の目的のために経済的便益が企業の正常な動作を脅かし続け、被害はますます攻撃によって引き起こされますより深刻な、
完全にIT情報システムへの依存度•企業の事業開発と、ビジネスアプリケーション。事業活動の過程で、そのような等、ウイルス、トロイの木馬、スパイウェア、など顔の深刻な脅威に継続
•P2P、企業の帯域幅と業務効率へのIMの虐待は深刻な影響を持っています。
侵入は、ここではそれらを繰り返さない、コンテンツセキュリティの概要を参照してください。
脆弱性
•脆弱性により、アクセスされたり、不正に攻撃を許可することができ、欠陥の存在、上の特定のハードウェア、ソフトウェア、プロトコル、実装やシステムのセキュリティポリシーの場合、システムにダメージを与えます。脆弱性はように、オペレーティングシステム自体及びサポート・ソフトウェア、ルータ、ファイアウォールなどを含むハードウェアとソフトウェアの広い範囲に影響を与えます。
さまざまなソフトウェアおよびハードウェアデバイス、異なるシステム、または異なる条件の下でのシステム設定の同じ種類で、それぞれ異なるセキュリティ上の脆弱性が存在します。
•システムのセキュリティ上の脆弱性がシステムの実装と使用中に生成され、ユーザーは使用中のシステムのエラーの存在を発見し、侵入者が破損し、システムのセキュリティいくつかのエラーを利用しようと、システムベンダーは、可能な限りすぐにリリースされる予定これらのエラーを修正するためのパッチ。これは、システムのセキュリティの脆弱性の一般的なプロセスは、より正確であることがわかっていますさ。
•システムに攻撃するために、多くの場合、発見者とセキュリティの脆弱性の利用者攻撃、そしてあなたがセキュリティの脆弱性の利用を見つけることができない場合はシステムに存在しては成功することはほとんどありません。これは理論的なシステムのより高いセキュリティレベルでは特に顕著です。システムのセキュリティの脆弱性やシステムが攻撃の間には密接な関係があります。したがって、我々は、システムのセキュリティの脆弱性からの攻撃について話すべきではありません。目標とするための共通のシステム攻撃手法について学ぶシステムの脆弱性を理解し、適切な救済策が必要である見つけること。
•脆弱性は、その適時性を持っています。ユーザーのシステムの抜け穴と一緒に一日のリリースからのシステムは、絶えずさらされている、それはその後、解放し、適切なパッチ修復ソフトウェアであり続けるか、新しいシステムで正しいでしょう。同時に、古いシステムの脆弱性が修正されていますが、多くの場合にも、いくつかの新しいバグやエラーを導入します。このように、時間をかけて、古い脆弱性は消えていき、新たな脆弱性が発生していきます。脆弱性は維持されます。
IDS:ホストベースの侵入検知システム。これは、ネットワークの規模がまだ比較的小さい1980年代初頭に登場しますが、ネットワーク間でもない、完全に相互接続。このような環境では、監査レコードの疑わしい動作を確認する比較的容易であり、そして実際に、その後の攻撃を防ぐことができる攻撃の事後解析により、非常に少ない侵入、でした。今すぐ適用されない、それはサーバーの能力を破産でしょう。
NIDS:ネットワークベースの侵入検知システム。
IPS:侵入防止システム
これらの異常の•侵入検知システム(IDS)、データは、侵入検出及び警報ネットワークのユーザのリアルタイムステータスを通知し、適切なソリューションを提供するために、処理方法、焦点とすることができますリスク管理セキュリティ製品インチ
•侵入防止システム(IPS)は攻撃的な行動に判断したもの、データハザード悪意のある動作の検知と防止、救済をネットワークまたはユーザー異常な状況を処理するリソースのオーバーヘッドを削減するために特別である、それは焦点のですセキュリティ製品のリスク管理。
•また、これはIDSとIPSとの関係を説明し、相互に排他的で置き換えるのではなく、お互いに協力していない:任意の場所でのセキュリティ製品の展開がどうあるべきかIDSのない展開、判断の唯一の感触は、広範なIDSを通じて存在しない場合に状況はさらに(などIPS)製品を展開しなければならない種類のセキュリティのものを決定することができることによって、展開、ネットワークの現在の状態をリアルタイムに理解、彼らはされています。
侵入検知
侵入検知(ID、侵入検知)
リアルタイム侵入検知過程でさまざまな操作を監視することで•、分析、監査データと様々な現象が、それは正とダイナミックなセキュリティ防衛技術であり、コンテンツのカバーの侵入検知承認され、不正な侵入品種。たとえば、セキュリティポリシーの動作に違反して、他のユーザー、システムリソースのリーク、悪意のある動作、不正アクセス、消費電力およびライセンサーの乱用を偽装。
侵入検知システム(IDS、侵入検知システム)
•侵入検知のためのすべてのハードウェアおよびソフトウェアのシステムは、攻撃やシステムのセキュリティポリシーの動作の違反の痕跡の存在を発見し、安全機構すぐに応答を起動します。たとえば、ネットワークのセキュリティ管理者は、コンソールまたは電子メールを介してケースを報告し、すぐに侵入、システム全体のシャットダウン、ネットワークから切断し、その上を一時停止します。
ネットワークベースの侵入検知システムは、主にクリティカルパスの監視ネットワークのリアルタイム上のすべての情報パケットのために使用され、ネットワーク上でリッスン、データ収集、不審物の分析;
•データソースとして元のネットワークパケットを使用して、
•ネットワークアダプタを介してリアルタイムで監視し、すべてのネットワークトラフィック分析、それは生のネットワークパケットを取得するために、他の特別なハードウェアを使用することができます。
•申し出多くの機能のホストベースの侵入検知システムを提供することはできません。
ネットワークベースの侵入検知システム(NIDS)次のような特徴があります
速い•速度を監視、問題は監査レコードの最後の数分の分析に依存するマイクロまたは第二級、ホストベースのIDSで見つけることができますが、
•良好な隠蔽のために、ネットワークモニタは、実行されませんネットワークサービスを提供していない、他のコンピュータへの対応、および攻撃することはあまり脆弱ではないかもしれ基づいて、他のアプリケーション;
•より広い視野、ホストが攻撃を検出することができる検出することはできません。
•少数のモニター、Aモニタは共有ネットワークセグメントを保護することができ、あなたは、モニターの多くを必要としません。
データは•攻撃者は、証拠の簡単転送ではなく、ネットワーク通信の使用が起こって、リアルタイムアタック検出され、攻撃者が証拠を転送することはできませんので、攻撃をキャプチャするだけでなく含みますこの方法はまた、情報のハッカーのアイデンティティとその訴追を識別すること;
•オペレーティングシステムに依存しない、専用のマシン上に展開することができ、保護するデバイス上のすべてのリソースを占有されることはありません。
•唯一の侵入検出を検出送信元と送信先のアドレスは、偽造のアドレスかどうかを識別することができない、本当の位置を特定することは困難です 侵入者。
展開
•情報セキュリティでは、侵入検知システムは、モニターの役割を果たし、そして、トラフィック監視情報システムの重要なノードのその中の詳細な分析を通じて、セキュリティインシデントの発掘調査は行われています。それは鮮やかなメタファーである:IDSは、IDSによってカメラセキュリティ監視システムのようなものであるシステム管理者は、重要なノードの流れをキャプチャし、インテリジェントな分析をすることができる、そして異常な、疑わしいネットワーク動作、管理者へのレポートを見つけました。
•文字列ルーティングデバイスに属するファイアウォール、早送りを行う必要があり、奥行きを検出していない;ファイアウォールが正しくアプリケーションデータストリームドーピングが悪意のあるコードが誤用または悪意のある行為に当該技術分野の中から検出することができない可能に分析することができない;ファイアウォール粒状属します粒状に属するアクセス制御、IDS検出装置、より正確にIDSによって現在のネットワークを監視することができる。
•IDSは、ファイアウォール、スイッチと連動して実行することができる、ファイアウォールが有効な「アシスタント」、ドメイン間のアクセスのより良い、より正確な制御になりますIDSとファイアウォールリンケージ、これまでのところ、ますます頻繁に「フラッシュ攻撃」と結合統一インターフェース仕様は、(会話などSQLインジェクション、オーバーフロー攻撃等の効果攻撃を達することができる)にIDSとファイアウォール結合を作り、存在しないため効果の実用化は、有意ではなかった。IDS柔軟かつタイムリーなアップグレード、ポリシーは、柔軟な運用が配置されています。
•
侵入検知技術
分析装置の構成、実際のフィールドデータ分析、フィードバック及び精製プロセス:•分析は、侵入検知、侵入検知解析処理のコア機能は、3つのフェーズに分割することが可能です。データ処理、データ区分(データを示すが、浸潤性、非侵入指示又は不定に分割することができる)と後処理:ここで、最初の2つのステージは、3つの機能を備えます。
異常検出モデル(異常検出)
•まず、通常の操作は、ユーザの活動と正常な行動からの大幅な乖離が侵入考慮した場合、機能の概要(ユーザー・プロファイル)を持つべきである
•仮定に基づいて異常検出:ユーザの行動は予測可能であるが、一貫性のモデル以下、および異常検出は、ユーザーの行動の変化に適応するユーザーイベントの増加と。異常検出におけるユーザの行動のプロファイルはメトリック(その測定)によって記載されて正常に検出閾値またはドメインに関連付けられているネットワークの動作、特定の定量的尺度を設定します。
不明•異常検出は、堅牢な保護メカニズムを反映して、攻撃で見つけることができますが、メトリックのセットで異常行動のすべてはさらに研究が必要で表現するために完了することができます。
•メイン行動特性に記載された一般的な統計やルールベースの方法は、システムプロファイル、統計およびルールベース機能のプロファイルの説明である機能プロファイルを作成します。
誤用検出モデル(誤用検出)
•通常の操作の非行動特性、ライブラリーの関連する機能の確立を収集し、時に検出されたユーザやシステムの挙動やライブラリの記録が一致すると、システムは、これは侵略であることを考えるでしょう。誤用により検索所定のパターンでイベントデータ、既知のパターンを確実に検出するための理想的に検出されます。実行誤用の検出は、主にユーザーのアクティビティイベントの記録と分析の信頼性の高い方法に依存します。誤用検出モデルはまた、特徴検出(シグネチャベースの検出)と呼ばれる
実装が容易•:マッチングアルゴリズムは、主に、比較的小さな技術的な問題に実装さ成熟アルゴリズムです。
•検出精度:侵入侵入検知システムの機能の正確な記述はそれらを識別侵入することが容易になります。検出結果が明らかに参照を持っているので、同時に、それはシステム管理者が侵入を防ぐための適切な措置をとることを助けることができます。
•容易なアップグレード:検出された侵入検知システムに基づいた機能の多くは、長い攻撃や脆弱性の特性に応じて、対応するルールを記述するために製造者または使用者などとして、あなたがアップグレードすることができ、新たな脆弱性や攻撃が発生した独自のルール定義言語を、提供し、システム。
侵入防止システム
•侵入防止は、エンタープライズ情報システムとネットワークインフラフリーを保護するために、ネットワーク・トラフィック、(等バッファオーバーフロー攻撃、トロイの木馬、ワームを含む)侵入検知、及び特定の方法による応答、侵入のリアルタイム懸濁液を分析することによって、セキュリティメカニズムであります侵害。IPSは、行動の種類が発見できるだけでなく、新たな安全保障と防衛技術の侵入を防ぐためです。
ネットワーク侵入を検出することにより、発見が自動的に基本的な攻撃を避けるためになるように、パケットまたはブロック侵入攻撃のソースを破棄することができます。侵入防御の主な利点は以下の通りです。
•リアルタイムで攻撃をブロッキング:ネットワークに導入直線道路機器を使用して、侵略の時に検出することができ、リアルタイムでの活動や積極的なインターセプトネットワークトラフィックの侵入、最小限にそのネットワークの侵入。
•多層防御:新しい攻撃がアプリケーション層TCP / IPプロトコルに隠されていると、IPSは、パケットのアプリケーション層の内容を検出することができ、また、ネットワークデータのプロトコル解析および検出を行うことができます再構築ストリーミング、および攻撃の種類に応じて、戦略そしてその上のトラフィックがブロックされるべきかを決定します。
オールラウンドな保護を•:侵入防止は、ワーム、ウイルス、トロイの木馬、ボット、スパイウェア、アドウェア、CGI(コモンゲートウェイインターフェース)の攻撃、クロスサイトスクリプティング、インジェクション攻撃、ディレクトリトラバーサル、情報開示、リモートファイルのインクルードに対して提供することができます攻撃、オーバーフロー攻撃、コードの実行、サービス拒否、ツール、バックドア攻撃やネットワークのセキュリティを保護するために、他の保護対策、オールラウンドの防衛攻撃を、スキャンします。
•防御の内側と外側:IPSは、内部からの攻撃を防ぐために、組織外、だけでなく、下からの攻撃を防ぐことができるだけでなく。トラフィックを渡すのシステムを検出することができる、いずれかのサーバー上の保護のために、あなたはまた、クライアントを保護することができます。
•エスカレート、正確な保護:不正侵入防止機能ライブラリは、最高レベルのセキュリティを維持するために、継続的に更新シグネチャデータベースに基づきます。あなたが中心からアップグレードすることができ、定期的に不正侵入防止の継続的な有効性を維持するためには、ライブラリのアップグレード設備を備えています。
配備
•バイパス:SPAN:スイッチポートがやってミラーリング、スイッチに接続され、次のスイッチは、ポートのイメージとして、接続されています。
TAP:ネットワーク境界に配備専用のトラフィックミラーリング・デバイス、。バイパス設置、スイッチやルータの真ん中で、IPSにデータをコピーします。
•ストレート:インライン:ネットワークの境界でシリーズ、オンライン展開、オンラインのブロッキング。
中間スイッチに接続されたルータ、ラインのインストール、オンラインブロック攻撃。
•SPANは、ポートまたはトラフィックのポートのグループによって達成される、ポートミラーリングまたはポートモニタリングと呼ばれる別のポートスイッチの設定にコピーされます。
•TAPテストアクセスポイントは、表面的には言った、「三通」の手段と同様のタップ概念略語の最初の文字であること、元の正常なトラフィックフロー、しばらく機器の監視を使用するための分析ポイント。単語の翻訳上のタップは、比較的一般的なスプリッタ/スプリッタです。分光分析データは、ファイバを介して伝送され、ワイヤを介してブランチ・データ。実際には、これは最も単純な概念はタップし、現在の技術開発は、タップの様々な生産しているだけです:フィルタをタップし、タップのいくつかにリンクトラフィックを入れている、一緒にタップの到来複数のリンクが存在することができ、もはや「3リンク」を使用することができますなどがタップスイッチは、単純なアウトラインに言葉です。偉大な革命の分野で監視/全体の監視の出現をタップし、それはとてもそれが全体の監視システムのための完全かつ柔軟なソリューションを持っている、基本的にアクセス監視・分析システムを変更しました。
コントラスト
•IDSは、侵入検知システムと呼ばれ、主な役割は、侵入イベントを見つけて記録し、ネットワークの状態を監視することであるが、侵入に対して行動を取ることはありません、セキュリティリスク管理に焦点を当てています。典型的には、IDSの方法アクセスネットワークへバイパス装置、ファイアウォール、侵入を遮断するためのファイアウォール発見通知と併せました。
発見侵入、侵入を阻止する:•IPS侵入防止システムは2つの部分の意味の概念を含め、呼ばれています。差がIDSで、IPSはリアルタイムで侵入をブロックすることで、セキュリティリスクの制御機構に焦点を当てています。
