成人A片高潮痉挛,精品无码一区二区三区爱欲,盛夏晚晴天在线观看 ,男女啪啪

app

掃描二維碼

下載手機客戶端

Android

iPhone

熱門搜索: 無人機 3D打印 機器人

圖標 0 購物車結(jié)算 圖標

最新加入的商品

圖標我的商城圖標

“可信度”機制在IDS與GSN聯(lián)動方案的應用

發(fā)布時間:2016/5/17 9:48:49
分享:

為什么要推出IDS與GSN聯(lián)動方案?

當信息化在各個行業(yè)中廣泛應用并帶來顯著效益的同時,信息安全成為目前迫切需要解決的問題,由此入侵行為的發(fā)覺技術(shù)和應用漸漸被人們所重視。IDS (Intrusion Detection System) 入侵檢測系統(tǒng)便是用來通過從計算機網(wǎng)絡或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 

GSN(Global Security Network)全局安全網(wǎng)絡解決方案,致力于通過軟硬件聯(lián)動、計算機與網(wǎng)絡聯(lián)動的整體解決方案,通過網(wǎng)絡設備和安全設備等硬件,配合后臺系統(tǒng)、客戶端等軟件,聯(lián)動的實現(xiàn)了對于用戶身份、主機健康性以及網(wǎng)絡通信等多方面的保障。 

如上所述,IDS設備可以監(jiān)控網(wǎng)絡中流量的情況,并針對異常的流量發(fā)起預警,預警信息包含源、目的IP。但這些信息對于網(wǎng)絡管理人員處理安全事件來說,并沒有太大的意義。這是因為,要處理網(wǎng)絡安全事件,一定要追根溯源,找到問題的根源,甚至定位到人,方能徹底解決,而僅僅提供IP地址這是不夠的。IDS與GSN體系的結(jié)合,恰好解決了這個問題,通過對IDS上報的安全事件的解析,并通過GSN體系中每個用戶的信息來將安全事件定位到人,并根據(jù)IDS與GSN共享的事件庫,對安全事件給出建議的處理方法,或者可以通過預先定制好的策略來對安全事件進行自動的處理,這就解決了在IDS檢測到安全事件后,處理難的問題。   

IDS與GSN聯(lián)動方案的實現(xiàn)思路
        通過以上對于IDS與GSN聯(lián)動的分析,我們可以得出IDS聯(lián)動的實現(xiàn)思路:
        1 由IDS監(jiān)控網(wǎng)絡流量,并對網(wǎng)絡異常流量進行上報到GSN系統(tǒng),上報信息包括攻擊的類型、源/目的IP地址等基本信息;
        2 由GSN系統(tǒng)對收到的安全事件報告進行分析,并根據(jù)系統(tǒng)中的用戶身份信息將攻擊者和被攻擊者定位到人;
        3 由GSN系統(tǒng)根據(jù)安全策略對攻擊者或被攻擊者進行處理。
        為了實現(xiàn)GSN系統(tǒng)與IDS的聯(lián)動,需要部署以下GSN的組件:
   

RG-SMP 安全管理平臺:負責對全網(wǎng)身份認證執(zhí)行統(tǒng)一的安全策略和日志匯總分析

RG-SEP銳捷安全事件解析器:對IDS報告的安全事件進行匯總上報SMP進行處理
 

聯(lián)動實現(xiàn)流程如下圖所示:


 

方案難點:如何平衡“誤報”和“漏報”?

GSN與IDS聯(lián)動方案推出后廣泛應用于各行業(yè)客戶,受到用戶好評。同時不少用戶也紛紛反饋在使用中遇到的首要問題:如何“既避免漏報,又減少誤報”?
        眾所周知,IDS上報的事件種類繁多,普通用戶缺少專業(yè)知識,難以處理,如果對事件不加分析的上報GSN進行處理,將出現(xiàn)大量“誤報”,導致運維無法開展。但是如果只根據(jù)嚴重級別上報攻擊,則可能出現(xiàn)“漏報”,而一旦出現(xiàn)漏報也給網(wǎng)絡安全帶來極大隱患。
        以通過郵件和P2P傳播的經(jīng)典復合型病毒Mydoom為例,該病毒具有3個特征:
        1 滿足可能使用的端口list時; 
        2 在端口條件滿足時,傳輸數(shù)據(jù)包括特征字符“\x85\x13\x3c\x9e\xa2”; 
        3 在“2”的基礎上,端口是最常使用的(3126到3199之間)情況。
        其中規(guī)則1僅判斷報文的目的端口是否在指定范圍內(nèi),這條規(guī)則是很容易被其它網(wǎng)絡行為(如可自行隨機設置端口的P2P軟件等)觸發(fā),如果據(jù)此告警,將使用戶被海量事件淹沒。但是如果對滿足規(guī)則1的事件視而不見,又可能導致漏報,特別是對于修改特征字符的零日攻擊束手無策。
        如何在誤報和漏報之間找到合理的平衡點成為業(yè)界普遍無法破解的難題,直接影響方案的可用性。
   

“可信度”機制解決之道
        為解決上文中提到的問題,銳捷創(chuàng)新性的引入“可信度”評估機制,報警中提供相應可信度數(shù)值,方便用戶評估攻擊的有效性、真實性。仍以Mydoom的3個特征為例: 
        1 當滿足可能使用的端口list時,報警可信度60%; 
        2 在端口條件滿足時,傳輸數(shù)據(jù)包括特征字符“\x85\x13\x3c\x9e\xa2”可信度為75%; 
        3 在“2”的基礎上,端口是最常使用的(3126到3199之間)情況下,可信度為90%。
        RG-IDS在向GSN平臺發(fā)送安全事件同時除通報攻擊類型、嚴重級別、攻擊源IP、目的IP等基礎信息外,還包括可信度。GSN系統(tǒng)根據(jù)專家知識庫預定義規(guī)則,確定當嚴重級別和可信度達到某個閾值時向客戶發(fā)送告警。如對于Mydoom攻擊,當同時滿足規(guī)則1、2,可信度達到75%時,方向用戶發(fā)送告警,聯(lián)動處理;對于只滿足規(guī)則1,可信度為50%的事件,則保存起來,供用戶在解決完緊急事件后查看處理。通過這種方式,使得用戶從大量的P2P應用占用Mydoom攻擊端口引起的“誤報”中解放出來,大大簡化了運維。
        引入“可信度”機制,有效解決了“誤報”和“漏報”的平衡問題,提高了IDS與GSN聯(lián)動方案的可用性?!翱尚哦取笔卿J捷網(wǎng)絡深入研究客戶業(yè)務現(xiàn)狀,把握客戶應用需求的又一項技術(shù)創(chuàng)新,進一步完善GSN全局安全網(wǎng)絡解決方案,生動體現(xiàn)了安全產(chǎn)品線“讓安全變的更容易”的價值主張。


LINKS 東方金信 安達發(fā) 根云 航天云網(wǎng) 和利時 智物聯(lián) 中易物聯(lián) 固高科技 ??C器人 科慧科技 防爆云平臺 科工云 天云研究院 云服務器
(版權(quán)所有 科工網(wǎng)&北京天云聚合科技有限公司 © Copyright 2015 - 2022 . All Rights Reserved.) 京ICP備14030211號-5   |   營業(yè)執(zhí)照