本网站是由硕士、博士和高校教师组成的专业代写团队所创办的平台。主要为在校本科生、专科生、硕士生、在 职研究生、单位公司人员、留学生等提供各种专业代写毕业论文服务的网站。提供的写作服务包括:代写MBA论文、代写MPA论文、代写EMBA论文、代写硕 士论文、代写本科毕业论文、代写专科毕业论文、代写研究生论文、代写留学生毕业论文、代写英语论文等等。作为八年的品牌,已经为几万名毕业生服务,让他们 顺利通过了毕业论文的考核。本站负责提纲、开题报告、文献综述以及毕业论文的写作,并提供不限次数的修改服务。所代写MBA论文价格、代写MPA论文费 用、代写EMBA论文价钱都是最实惠的,欢迎咨询!
YM,机电教授,YMT,日本千叶博士,教授
海豚,英国留学管理博士学历
LB,经济管理博士英国交流
maomao,经济硕士管理博士
陈先生,湖南计算机博士,7年教育经验。硕士研究生导师。
BJX,上海交大计算机博士,发表40多篇核心学术论文,
电子计算机类博士,3人组合
LLBZY,5人,工程,园林,农业生态中科院博士,参与国家重点项目研究
浙大,管理硕士,英语专业硕士
y,男,法学硕士
中国XX大学,会计硕士,英语硕士,管理硕士
各一名
熊,浙江,管理学博士,经济学硕士,擅长管理,金融、宏观经济、区域经济
英语专业硕士,英语,翻译论文
11,硕士,自由撰稿,编辑,经济、法律、品牌
文,硕士,擅长企业管理,行政管理, MBA论文
兰大的硕士,西哲,社科
刘先生,擅长写作金属材料领域的专业论文
澳大利亚摩尔本皇家理工大学的MASTER
医学主治医师,某医学杂志编辑
剑,38,教育学硕士
某核心医学编辑
某中学杂志编辑
R,管理财会硕士,研究员
武汉工程博士,男,土木,结构,水电道路工程等
土木工程硕士,男,35岁,擅长工科土木工程,房建,园林,市政论文
左先生,武大MBA,擅长经济,管理,商业类论文
陈先生,大学本科副教授,英语专业硕士
陆先生,中科院基础医学研究生
杨先生,27岁, 武汉大学硕士,营销管理专业,武汉社科研究员,中国策划研究院协会会员,管理顾问公司总监。擅长经济管理、市场调查、行业研究报告。服务客户有中国银行,中银保险,香港铜锣湾百货等著名企业。
林先生,28,信息专业硕士,计算机研究室主任,国家高级电子商务培训讲师。
周先生,31,国内著名DVD品牌技术总监,重点高校讲师,期间指导学生获得全国电子大赛二等奖,指导老师二等奖。擅长电子类论文。
某艺术工作室,硕士学历,擅长现代艺术美术理论研究及创作。
刘先生,某著名医学院硕士研究生,某著名医学院博士研究生,专业为妇产科护理,以多产,高速,高质量著称。
kerry,北京某著名大学教师,擅长教育类论文。
时间:2019-09-27
一、IPS应用中存在的窘境
IPS上线后给用户带来的实际体验往往非常糟糕,很多测试过或正在使用IPS的用户经常抱怨IPS每天提示的信息太多,根本不知道哪些是真实有效的报警、哪些是误报或可以忽略的信息,甚至经常将正常的通信行为加以阻断,严重影响业务系统的正常访问。
大量的事件告警
二、问题成因的简要分析
实际上,造成上述种种情况的原因很大程度上是IPS在上线调试的过程中方法不正确,通常是加载一条“全检测策略”、“精选策略”等模版或简单选几个攻击类型了事,最终,这样没有针对性的策略导致IPS在运行过程中产生海量事件,即便检测到了真实的攻击行为也无法及时呈现出来。
IPS提示的事件一般可大致分为下述四类:
1.预警信息类:不安全、存在隐患的正常访问行为(如:FTP匿名访问、Administrator帐号登陆远程桌面、访问WEB的admin.php页面等);2.可疑事件类:可能导致防护目标遭到破坏的访问行为(如:过长的URL请求、带有“<script>window.open(‘网址’)</script>”类似字符的WEB上传);3.攻击行为类:真实的针对目标的恶意扫描、攻击行为(如:Port Scan、SQL注入语句等),这类事件通常是检测到访问中存在明显的带有攻击特征的信息;4.误报类:由于IPS的检测机制导致的误报事件,这是当前IPS所无法避免的;由此可见,由于IPS内置的缺省策略模版都引用了大量的特征规则或全部特征规则,使得IPS上线后采集到的信息特别多,这样的IPS调试方式最终导致预警信息、可疑事件和误报类信息在长期运行的过程中逐渐“堆积成山”,淹没了关键的攻击行为告警或其他重要事件,用户每次登陆设备都面对着茫茫多的、不关心的告警,体验感自然也就无法谈起了。
三、IPS如何解决问题
实际上,由于IPS产品的工作原理和特性,决定了其上线部署方式和防火墙这样的网关安全产品存在很大的差异,一般来说,IPS产品需要经过策略在实际环境的测试运行和后期针对性的调整过程,同时,为了确保用户能够在日常工作中正确使用IPS和用好IPS,还需要进行IPS日常管理的培训。IPS虽然具备上述“硬实力”,但为了进一步确保IPS在测试和使用时达到最佳的效果和体验感,展现IPS出众的防护能力,建议产品在上线部署时结合下图所示的规范化流程这一“软实力”:
图 IPS的规范化部署流程
1.系统环境调查:部署IPS前,在确保准确无误的前提下,尽可能多和详细地收集目标系统环境信息,至少包括:用户真实需求、网络状况、应用系统状况、业务对象和流程,以确定IPS的接入方式、保护对象和策略等。
2.初始策略定义:大致了解了系统环境以后,需要针对性地为IPS制定相应的防护策略,以IPS为例,需要考虑的策略包括“访问控制策略”、“流量策略”、“攻击检测策略”、“病毒检测策略”、“应用识别策略”、“URL过滤策略”。当然,许多时候在一些网络和应用环境较为复杂的情况下,系统环境信息收集无法做到全面和准确时,初始策略可定义得全面、松动一些,即避免漏过了对防护目标的检测,又防止严重影响正常的访问。
3.初步分析和确认:初始策略加载并运行后,往往会产生许多事件信息,因此,需要对这些信息加以分析和确认,其中,按照预警类信息的提示,确认是否存在隐患(如:事件中有FTP匿名访问请求,系统是否允许了FTP匿名访问);按照可疑事件类信息的提示,确认访问是否危及防护目标(如:事件中有URL超长请求,WEB发布程序是为IIS4.0或以下等存在URL超长请求溢出漏洞的版本);按照攻击行为类信息的提示,确认是否为误报。通过初步分析采集到的事件,往往能够让系统管理员了解到不少忽略的问题和隐患,甚至把本来连管理员也不是很清楚的业务访问流程分析清楚,在该阶段,可协助用户按照IPS检测到的信息对目标系统的简单加固(如:修改默认账户、打补丁、升级系统版本等)。
4.针对性细化策略:根据分析和确认的结果,对IPS的策略进行针对性的调整,由于不同防护目标采用的系统、应用程序和业务流程等不尽相同,因此建议按照防护目标为单位来制定针对性的检测规则和防护策略。在初始策略的基础上,攻击检测规则可去除不会产生破坏的预警类事件(如:FTP服务器没有允许匿名访问,则可去掉FTP匿名访问检测规则)、用户选择忽略的预警类事件(如:用户认为自己的admin.php有证书认证机制,不会遭到口令爆破的威胁,则可去掉admin.php访问检测规则)、可排除的可疑事件信息(如:Apache版本为2.2及以上,则可去掉Apache Web服务器程序未明远程拒绝服务攻击检测规则),对于确认为误报的事件,若确定不收该类型攻击影响则同样可以去除检测规则,或可通过调整特征规则的定义来解决。同时,由于细化后的策略排除了一些不需要关注的规则和误报现象,策略在定义时可采用各条检测规则的默认动作,高风险的一些扫描和攻击行为就能得到及时的阻断(但建议给阻断的检测规则同时配置“记录报文”作为攻击取证或误报与否的判断依据)。
5.再次分析和确认:针对性细化的策略加载之后,设备能够检测到的事件理论上都是“攻击行为类”等用户真正关注的、能够引起防护目标遭到破坏的事件,但由于设备加载初始策略运行的时间较短,一些访问没有出现,在加载细化后的策略时,还是可能产生少量的预警信息或误报等(日常运行中也会有规则的更新),因此也可以看出,事件分析和策略针对性细化是一个贯穿IPS使用过程的循环内容,因此,建议在分析确认、策略针对性细化过程中要求用户相关管理人员一起参与,一来方便分析事件,二来加深用户对IPS产品核心功能的理解。
6.日常管理培训:IPS和防火墙等被动防御类网关产品不同,日常使用中需要管理员经常进行更为频繁的操作,如:监视系统自身运行状况、监视业务运行安全状况、监视终端行为安全状况、分析IPS事件、调整策略、生成和管理报表、处理故障等。因此需要对IPS的日常管理人员进行针对性的培训,让管理员深入了解IPS的设计理念、防护功能,并熟悉操作过程。
上一篇:地理信息系统智能化设备组装探究
下一篇:新疆电力公司办公电脑IP问题与安全控制