一、要求内容
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警及自动采取相应动作。
二、实施建议
通过使用IDS设备可以监视外来的入侵行为并记录,在此基础上增加SOC可以更好的对入侵和安全事件进行管理,采取短信、邮件等形式的实时告警。
三、常见问题
有的企业虽然采购了IDS设备但使用的是默认配置,没有进行适当的配置,有的甚至没有定期升级特征库。
四、实施难点
五、测评方法
形式 访谈,检查,测试。 对象 安全管理员,网络入侵防范设备。
实施
a)应访谈安全管理员,询问网络入侵防范措施有哪些;是否有专门设备对网络入侵进行防范;询问网络入侵防范规则库的升级方式;
b)应检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件;
c)应检查网络入侵防范设备,查看入侵事件记录中是否包括入侵的源IP、攻击的类型、攻击的目的、攻击的时间等;查看是否设置了安全警告方式(如采取屏幕实时提示、E-mail告警、声音告警等);
d)应检查网络入侵防范设备,查看其规则库是否为最新;
e)应测试网络入侵防范设备,验证其监控策略是否有效(如模拟产生攻击动作,查看网络入侵防范设备的反应);
f)应测试网络入侵防范设备,验证其报警策略是否有效(如模拟产生攻击动作,查看网络入侵防范设备是否能实时报警)。
六、参考资料
在IATF 3.1中对入侵检测的实施有相关描述:
6.4.1 网络入侵检测 入侵检测系统(IDS)的目标是近实时地识别和(潜在地)阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。由于本节侧重于基于网络的监测,讨论将集中于使用网络信息的操作。
在7.2 节(计算环境中的基于主机的检测和响应能力),可以看到通过基于主机信息来完成相近功能的相似结构和技术。 6.4.1.1 技术概述 6.4.1.2 使用方式的一般考虑 6.4.1.3 重要特性 6.4.1.4 特性选择的基本原理 6.4.1.5 对配置点的考虑 6.4.1.6 对系统运行的考虑