安全事件的发现和处理流程。具有这几项技术的支撑是具有庞大的知识库,能够进行入侵管理。而应急响应体系的组织结构、处理规范、响应流程都是保证应急响应能够正常开展的管理要素。Р异常流量分析Р实时监控网络流量,进行网络流量的分类分析和统计;产生例如提供点对点数据流量及流量排名的详细图表;定义流量异常的阀值,对异常流量进行实时报警。Р内容异常分析Р基于异常的检测技术可以发现可疑的网络行为,能够对未知的攻击方式发出预警信号,是对其他方法的有利补充。同时,采用“多目标跟踪锁定”功能,对用户所设定的异常报警内容进行多方位的定点跟踪和显示,“凸出”用户所关心的信息。Р行为关联分析Р一个真正的攻击不是一个单独的行为就可以发现,必须分析一系列的单独行为,找到其中的行为关联关系,才能更好地识别攻击,管理已发生的入侵事件,处理垃圾报警信息,准确描述攻击行为。Р网络病毒分析Р针对当前流行的网络蠕虫和病毒进行预警,包括Nimda蠕虫、Sql slammer蠕虫等。Р强调实现以入侵检测为核心的安全防御体系。入侵检测系统与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均可实现联动,这些联动本身就是应急响应的一个组成部分,使得以前相互独立、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。Р入侵管理Р入侵管理技术是应急响应体系的核心支撑技术。入侵检测系统不仅能抓取网络中的数据流并进行分析,与事件库中的入侵行为进行模式匹配,从而对入侵行为进行报警,而且能够进行完备的协议分析,保证对数据流的分析是比较完整的。同时,好的入侵检测系统还具有异常统计的功能,以降低误报率,提高工作效率。
全文预览
