¿Qué empresa desarrolló Netranger?
Se han desarrollado muchos mecanismos de seguridad, pero los problemas de seguridad aún son objeto de sospecha y preocupación. Electrónica de imagen
Que esta aplicación empresarial se impulse plenamente depende en gran medida de las personas.
Confianza de los estudiantes en la seguridad de los sistemas de información en un entorno online. Como se ha demostrado teóricamente que no existe un sistema de seguridad absolutamente seguro, generalmente se utilizan registros de auditoría y sistemas de detección de ataques.
Como última línea de defensa de seguridad de los sistemas de información.
La información de auditoría se recopiló en los primeros sistemas informáticos medianos y grandes y se establecieron archivos de seguimiento.
El objetivo de estas pistas de auditoría es principalmente para pruebas de rendimiento o facturación, por lo que la detección de ataques
Las mediciones proporcionan información menos útil, además, la principal dificultad radica en la carta de auditoría;
La disposición de la granularidad de la información, cuando la granularidad de la información de auditoría es buena y los datos son demasiado grandes y demasiado detallados,
Sin embargo, dado que el mecanismo de seguimiento de auditoría proporciona una gran cantidad de datos , será útil.
La fuente de información no se encuentra entre ellas; por lo que la inspección manual no tiene sentido porque no es factible.
El nivel de detección mediante auditoría pasiva no se puede garantizar para intentos o ataques exitosos.
. Una pista de auditoría común puede proporcionar información importante para la detección de ataques, como por ejemplo quién.
¿Qué programas ejecutaste, cuándo accediste o modificaste esos archivos, usaste memoria e imanes?
Cantidad de espacio en disco, etc. ; sin embargo, también puede perder correspondencia importante del departamento relacionada con la detección de ataques.
Descansa. Para que una pista de auditoría universal sea útil con fines de seguridad, como la detección de ataques, debe estar equipada con herramientas automatizadas para analizar los datos de auditoría con el fin de detectar eventos sospechosos lo antes posible.
Pistas de comportamiento para emitir alertas o contramedidas.
(1) Tecnología de detección de ataques basada en información de auditoría
1. Clasificación de la tecnología de detección
Para extraer seguridad de una gran cantidad de auditorías a veces redundantes. datos de seguimiento
Información útil, basada en el diseño e implementación de información de seguimiento de auditoría de sistemas informáticos.
Existe la necesidad de herramientas de detección o análisis de seguridad unificadas y automatizadas que puedan usarse para detectar a los involucrados.
E información de seguridad. Las ideas y técnicas populares de minería de datos son las siguientes.
Muy parecido.
Las herramientas automatizadas de análisis y detección basadas en auditorías se pueden desconectar, lo que significa que las herramientas de análisis no se pueden desconectar
La información proporcionada por los archivos de seguimiento de auditoría se procesa en tiempo real por el sistema informático.
Si el sistema está bajo ataque y proporciona tanta información sobre el atacante;
Además, puede estar en línea, lo que significa que la herramienta de análisis proporciona archivos de seguimiento de auditoría en tiempo real. .
Cuando ocurre un comportamiento de ataque sospechoso, el sistema proporciona alertas en tiempo real.
Cuando ocurre un ataque, las alertas pueden proporcionar información sobre el atacante, incluido
El objetivo de la información del intento de ataque.
2. Clasificación de los ataques
En un sistema de seguridad, normalmente se deben considerar al menos los siguientes tres tipos de amenazas a la seguridad: ataques externos
, ataques internos y abuso de autorización. Cuando el atacante viene desde fuera del sistema informático
Se llama ataque externo; el atacante es alguien que tiene acceso a los ordenadores pero no acceso a ellos.
Se cree que algunos datos, programas o recursos específicos son utilizados por alguien que pretende utilizar recursos del sistema más allá de su autoridad.
Ataques internos, incluidos falsificadores (es decir, personas que utilizan las identidades y contraseñas de otros usuarios legítimos)
Usuarios secretos (es decir, aquellos que evaden deliberadamente los mecanismos de auditoría y los controles de acceso)
p>
;Los abusadores de privilegios también son usuarios legítimos de los recursos del sistema informático, intencionalmente o no.
Abuso deliberado de sus privilegios.
Al auditar los intentos fallidos de inicio de sesión, se pueden descubrir atacantes externos que atacan a la empresa.
Figura; Al observar un registro de intentos fallidos de conectarse a archivos, programas y otros recursos específicos, puede
detectar los intentos de atacantes internos, lo que se puede hacer individualmente para cada usuario.
Comparar modelos de comportamiento con comportamientos específicos para detectar y descubrir falsificadores pero deben pasar revisión.
A menudo es difícil encontrar abusadores autorizados que tengan información.
La detección de ataques basada en información de auditoría es particularmente difícil de prevenir, lo que requiere un alto rendimiento.
Ataques internos privilegiados; los atacantes pueden utilizar permisos o tonos específicos del sistema
Evite la auditoría con acciones de menor nivel que la auditoría misma. Para usuarios con permisos del sistema
Los usuarios deben ver todas las operaciones que desactivan o pausan la función de auditoría.
Usuarios especiales u otros parámetros de auditoría para auditoría. Auditar el trabajo de nivel inferior
Las capacidades, como auditar los servicios del sistema o las llamadas al sistema central, suelen ser enfoques más difíciles y comunes.
El trabajo es difícil y requiere herramientas y operaciones especiales para realizarlo. En definitiva, para evitar el ocultamiento.
Los ataques internos secretos deben garantizar la eficacia de los medios técnicos y de gestión no técnica.
La operación debe monitorear algunos indicadores específicos dentro del sistema (como CPU, memoria y magnéticos). disco)
actividad del disco) y se comparan con su historial en circunstancias normales para el envío.
Ahora.
3. Método de detección de ataques
(1) Detectar comportamientos ilegales ocultos
Se puede utilizar la detección de ataques fuera de línea basada en información de auditoría y herramientas de análisis automático
Los administradores de seguridad del sistema informan una evaluación de la actividad del sistema informático del día anterior.
El principio de funcionamiento del sistema de detección de ataques en tiempo real se basa en el comportamiento histórico de los usuarios.
Los sistemas de modelización y auditoría basados en evidencia temprana o modelos detectan las opiniones de los usuarios en tiempo real.
De acuerdo con el modelo estadístico probabilístico del comportamiento del usuario mantenido en el sistema, el uso del sistema
monitoreo, cuando se descubre que ocurre un comportamiento sospechoso del usuario, se mantiene el seguimiento y el monitoreo,
Registra el comportamiento del usuario. Desarrollado por el Instituto de Investigación de Stanford
Ides (Sistema Experto en Detección de Intrusiones) es un ejemplo típico.
Basado en sistema de detección en tiempo real. El sistema IDES puede identificar a los usuarios en función de su comportamiento histórico previo.
Si el comportamiento actual es legal. El sistema genera cada usuario en función del comportamiento histórico del usuario.
Biblioteca de registros históricos de comportamiento. Una función más eficaz de IDES es aprender de forma adaptativa los objetos detectados.
Medir los hábitos de comportamiento de cada usuario en el sistema. Cuando los usuarios cambien su comportamiento,
se detectará esta anomalía. Actualmente, el monitoreo implementado en IDES se basa en
los siguientes dos aspectos: elementos generales como tiempo de uso de CPU, canales de uso de E/S y
frecuencia, creación y eliminación de; directorios comunes, lectura, escritura, modificación y eliminación de archivos, y
comportamientos de la red de área local de proyectos específicos: incluido el editor y compilador al que está acostumbrado;
, las llamadas al sistema más utilizadas, el almacenamiento de ID de usuario y el uso de archivos y directorios.
IDES no sólo puede monitorear los comportamientos anormales de los usuarios en tiempo real. También es adaptable al proceso.
Debe ser una capacidad de parámetro de usuario. En un sistema de detección de ataques como IDES, se pueden utilizar varios aspectos del comportamiento del usuario como marcadores para distinguir el comportamiento normal del anormal.
Por ejemplo, los usuarios suelen utilizar el sistema durante el horario laboral normal y ocasionalmente añaden clases.
El IDES advertirá que utilizan el sistema. Según esta lógica, el sistema puede determinar el propósito de la fila.
Legítima o sospechosa. Evidentemente, esta lógica tiene el problema de la "expansión/reducción de los contrarrevolucionarios"
Los IDES son ineficaces cuando los usuarios legítimos abusan de sus derechos. Este método es el mismo que
Sample y es adecuado para detectar el comportamiento de programas y recursos de datos (como archivos o bases de datos)
Comportamiento de acceso.
(2) Tecnología de detección de ataques basada en red neuronal.
Como se mencionó anteriormente, los sistemas de detección de ataques de clase IDES (Sistema Experto en Detección de Intrusiones)
basados en estadísticas de auditoría tienen algunas debilidades inherentes porque
el comportamiento del usuario puede ser muy complejo, por lo que desea que coincida exactamente con el calendario del usuario.
Tanto el comportamiento histórico como el comportamiento actual son bastante difíciles.
Las alertas falsas a menudo provienen de algoritmos estadísticos inexactos basados en datos de auditoría.
O suposiciones inapropiadas. Como una de las estrategias de mejora, el grupo de investigación del Instituto de Investigación de Stanford ha utilizado y desarrollado tecnología de redes neuronales para la detección de ataques.
Medición. Las redes neuronales se pueden utilizar para resolver los siguientes problemas que enfrentan las técnicas tradicionales de análisis estadístico.
Problemas: ① Es difícil establecer una distribución estadística precisa: los métodos estadísticos dependen básicamente de
suposiciones subjetivas sobre el comportamiento del usuario, como las desviaciones de la distribución gaussiana a las que a menudo conduce esta suposición; falsas alarmas.
Causado. ② Es difícil lograr la universalidad del método: es adecuado para la detección de determinados comportamientos del usuario.
Las medidas generalmente no se pueden aplicar a otro tipo de usuarios. ③La implementación del algoritmo es relativamente costosa: debido a las razones anteriores
Una de las razones es que los algoritmos basados en estadísticas no tienen una autoevaluación de los diferentes tipos de comportamientos del usuario.
Adaptabilidad, por lo que el algoritmo es complejo y enorme, encareciendo la implementación del algoritmo.
La tecnología de redes neuronales no tiene este problema y el costo de implementación es más difícil que el del sistema escolar.
En términos de personalización: dado que se utilizan métodos estadísticos para detectar sistemas informáticos con una gran cantidad de usuarios,
Necesitamos retener una gran cantidad de información sobre el comportamiento del usuario, lo que resulta en en un sistema inflado que es difícil de adaptar.
La tecnología basada en redes neuronales puede evitar esta deficiencia. Basado en señales detectadas en tiempo real,
responda de manera efectiva y emita juicios sobre la posibilidad de ataques.
Actualmente, la tecnología de redes neuronales propone la detección de ataques basándose en técnicas estadísticas tradicionales.
La dirección de mejora del método aún no está muy madura, por lo que los métodos estadísticos tradicionales continuarán.
Continuará desempeñando un papel importante y aún puede proporcionar un precio de referencia considerable para descubrir comportamientos anormales de los usuarios.
Información de valor.
(3) Tecnología de detección de ataques basada en sistema experto.
Otra dirección de investigación que merece atención en la automatización del trabajo de inspección de seguridad es
Es una tecnología de detección de ataques basada en sistemas expertos, es decir, basada en el comportamiento sospechoso de los expertos en seguridad. .
Analizar la experiencia para formar un conjunto de reglas de razonamiento y luego formar las correspondientes basadas en esto.
Sistema experto. Por tanto, el sistema experto analiza automáticamente las operaciones de ataque involucradas.
Trabajo.
El llamado sistema experto es un conjunto de reglas predefinidas en base a la experiencia de los expertos.
Sistema. Por ejemplo, un usuario inicia sesión continuamente durante varios minutos y falla.
Tres veces se puede considerar un ataque. Parece haber reglas similares en los sistemas estadísticos.
Del mismo modo, cabe destacar que los sistemas expertos basados en reglas o sistemas de propulsión también tienen las suyas propias.
Limitaciones, porque las reglas de inferencia que subyacen a dichos sistemas suelen basarse en lo que ya se sabe.
Las vulnerabilidades de seguridad están organizadas y planificadas. Las amenazas más peligrosas para el sistema son principalmente
que provienen de una vulnerabilidad de seguridad desconocida. La implementación de sistemas expertos basados en reglas es una ciencia.
Comprender los problemas de ingeniería y sus funciones debería poder utilizarse en el autoestudio con la acumulación de experiencia.
Aprende la capacidad de ampliar y modificar reglas. Por supuesto, esas capacidades deben estar en manos de expertos.
Se puede lograr orientación y participación, de lo contrario puede dar lugar a más falsas alarmas. Por otro lado, el mecanismo de propulsión permite que el sistema presente algunos fenómenos de comportamiento nuevos.
Capacidad de respuesta (es decir, se pueden descubrir algunas nuevas vulnerabilidades de seguridad),
el ataque puede no activar ninguna regla y, por lo tanto, no ser detectado. Los sistemas expertos
generalmente dependen más de datos históricos que los sistemas de auditoría basados en técnicas estadísticas.
Menos, por lo que el sistema es altamente adaptable y puede adaptarse de manera flexible a la seguridad de amplio espectro.
Requisitos de política y detección. Pero hasta ahora, todavía existe una cierta distancia entre el problema de computabilidad de los sistemas de inferencia y el cálculo de predicados y las soluciones maduras.
(4) Tecnología de detección de ataques basada en razonamiento modelo.
Los atacantes suelen utilizar ciertos procedimientos de comportamiento, como adivinar, cuando atacan un sistema.
Programa criptográfico, este programa de comportamiento constituye un modelo con determinadas características de comportamiento.
Según las características de comportamiento de la intención de ataque representada por el modelo, se puede detectar en tiempo real.
Un intento de ataque malicioso. Aunque el atacante no es necesariamente malicioso. Utilizando módulos
uno puede construir modelos específicos para ciertos comportamientos con fines de monitoreo.
Depende de actividades concretas con características comportamentales concretas. Basado en un script de ataque hipotético, el sistema
El sistema puede detectar comportamientos ilegales de los usuarios. En términos generales, para poder hacer juicios precisos, es necesario crear scripts de ataque específicos para diferentes atacantes y diferentes sistemas.
Cuando hay evidencia de que ocurrió un patrón de ataque específico, el sistema debe recopilarla.
Sus pruebas confirman o niegan la autenticidad del ataque, y ninguna de las dos subestima la información sobre el ataque.
El sistema causa daños reales y se deben evitar las falsas alarmas en la medida de lo posible.
Por supuesto, ninguno de los métodos anteriores puede resolver completamente el problema de la detección de ataques.
Para fortalecer los procedimientos de seguridad de los sistemas de información informática, es mejor utilizar una variedad de medios
para aumentar la dificultad de los ataques exitosos y ayudar a ataques más apropiados basados en las características del propio sistema.
Medios de detección de golpes.
4. Otros problemas relacionados
Para evitar la interferencia de demasiada información irrelevante, se utiliza para la detección de ataques por motivos de seguridad.
Además del sistema de auditoría, el sistema de prueba también debe estar equipado con un recopilador de información adecuado a la política de seguridad del sistema.
O filtrar. Al mismo tiempo, además de depender de la información del subsistema de auditoría, también se debe utilizar plenamente la información de otras fuentes de información. En algunos sistemas, se pueden lograr avances en diferentes niveles.
Pista de auditoría. Por ejemplo, algunos sistemas utilizan pistas de auditoría de tres niveles en sus mecanismos de seguridad. Incluyendo
auditar el comportamiento de llamadas centrales del sistema operativo y auditar los comportamientos a nivel de interfaz del sistema operativo y del usuario.
y auditar el comportamiento interno de la aplicación.
Otra cuestión importante es determinar dónde se ejecutará el sistema de detección de ataques. Para
Para mejorar la eficiencia operativa del sistema de detección de ataques, se puede implementar independientemente del sistema que se esté monitoreando.
Realizar análisis de seguimiento de auditoría y detección de intrusiones en los ordenadores es eficiente y eficaz.
La ventaja es también la ventaja de la seguridad.
Porque el tiempo de respuesta del sistema de monitorización no tiene ningún impacto negativo en el funcionamiento del sistema monitorizado.
No se verá afectado por otros factores relacionados con la seguridad.
En resumen, para utilizar eficazmente la información proporcionada por el sistema de auditoría y prevenir amenazas de ataque mediante medidas de detección de ataques
, el sistema de seguridad informática debe seleccionarse de acuerdo con la situación específica. del sistema.
Elija los principales métodos de detección de ataques aplicables e integre orgánicamente otros métodos de detección de ataques opcionales.
Método de medición.
Al mismo tiempo, debemos darnos cuenta claramente de que ninguna medida de detección de ataques puede ser efectiva de una vez por todas. Es necesario implementar medidas organizativas y de gestión efectivas.
(2) Pruebas de sistemas de detección de ataques
Con el fin de realizar una evaluación justa y eficaz de los productos de sistemas de detección de ataques en el mercado
Evaluar y evaluar la sistema de detección de ataques Las pruebas son muy importantes.
Para los usuarios, los informes de pruebas de terceros son muy instructivos a la hora de realizar compras.
Algunas unidades en nuestro país conceden gran importancia a esto y han realizado un gran trabajo pionero, y
ha logrado grandes logros. El equipo del IDG Information World Test Center en los Estados Unidos ha desarrollado una especie de prueba comparativa: iwss 16.
Esto puede considerarse como una prueba comparativa. El equipo recopiló varios métodos de ataque típicos disponibles públicamente y los combinó para crearlos.
IWSS16.IWSS16 combina cuatro métodos de ataque principales: (1) Ataque de recopilación de información.
Los atacantes que atacan una red suelen realizar ataques exploratorios antes de cometer un ataque formal. El objetivo es
obtener información útil del sistema, por lo que el foco del primer tipo de detección de ataques es
escaneo de PING, escaneo de puertos, escaneo de cuentas, conversión de DNS y otras operaciones. . Ataques de red
Las herramientas de ataque más utilizadas por los piratas informáticos incluyen: Strobe, NS, Satan (Security A
Herramientas de administrador para auditar la red. Utilice estas herramientas
Información Se puede obtener información sobre el contenido de la red, dónde están las vulnerabilidades de la red, etc.
(2) Ataque de acceso
En IWSS16, se integran una serie de medios destructivos para obtener acceso. a la red.
Incluye muchos fallos, como fallos en el envío de correo e intrusiones remotas.
Desbordamiento del buffer del protocolo de acceso al correo Rnet, fallos en el FTP, fallos en el phf, etc.
A través de las fallas causadas por estos ataques, se exponen las vulnerabilidades del sistema y se obtienen derechos de acceso.
(3) Ataque de denegación de servicio
El ataque de denegación de servicio es el más común. ataque difícil de detectar, porque no deja ningún rastro.
Es difícil para los administradores de seguridad determinar el origen del ataque porque su objetivo es paralizar el nodo de la red.
Por supuesto, es difícil defender un lado.
En resumen, un ataque de denegación de servicio es un tipo de ataque que es relativamente fácil de defender. contra
La característica de este ataque es que falla en aplicaciones abrumadoras,
Además, los ataques de denegación de servicio también pueden aprovechar las debilidades del sistema operativo; realizar ataques dirigidos. p>(4) Evitar la detección de ataques
Los piratas informáticos internacionales han entrado en la etapa de ataques cibernéticos organizados y planificados, y el gobierno de los EE. UU. tiene la intención de tolerar las actividades de las organizaciones de piratas informáticos para prevenirlos. Bajo cierto control.
La organización internacional de hackers ha desarrollado muchas técnicas para evitar la detección a través de este canal.
Es una ley universal. lanzas y escudos conviven y se desarrollan alternativamente. El desarrollo de sistemas de detección de ataques
Una de las líneas de investigación de la exposición es superar los intentos de fuga
(3) Varios ataques típicos. sistemas de detección
(1) NAI es un proveedor líder de productos profesionales de seguridad de redes
Los productos del sistema son principalmente tres productos independientes: Cyber Scanner y Cyber Server
Cybercop Scanner es uno de los productos de seguridad de red de NAI, su objetivo es detectar enlaces débiles en entornos de red complejos. Los escáneres cibernéticos son muy sensibles a
Anet, servidores web, firewalls. y otros enlaces de seguridad de la red se inspeccionan exhaustivamente,
encontrando vulnerabilidades en estos enlaces de seguridad, incluidas filtraciones conocidas
y muchas vulnerabilidades desconocidas
Informe. algunas vulnerabilidades de seguridad en productos de red y sistemas de red a proveedores de software y organizaciones relevantes.
Informe (si es el primero) para que las vulnerabilidades de seguridad puedan abordarse lo más rápido posible en la mayor medida posible.
Los peligros que esto trae. Cybercop Scanner es particularmente bueno para solucionar problemas de enrutadores y protección contra incendios.
Problemas de seguridad con los programas de filtrado de pared, no hay muchos productos exitosos en este ámbito en el mercado.
. Esto fue creado por la herramienta CAPE (Custom Audi) en el producto de escáner Cybercop.
Motor de agrupación Ting). CAPE puede implementar capas de protocolos muy complejas.
Las simulaciones de suplantación de identidad y ataques se pueden adaptar fácilmente a redes específicas.
El uso de herramientas no requiere altos conocimientos de programación. Para aquellos que desean abordar los problemas de seguridad internamente, Cybercop Scanner es sin duda la opción ideal para herramientas de pruebas organizativas y unitarias.
Seleccionar.
Para aquellas empresas de consultoría con problemas de seguridad, Cybercop Scanner también es una herramienta adecuada ya que proporciona detección del estado operativo de la red desde el exterior.
El servidor Cybercop es uno de los productos de seguridad de red de NAI. Su objetivo es
proporcionar prevención, detección y respuesta a ataques en entornos de red complejos, y puede adoptarse
<. p>Herramientas para tomar contramedidas automatizadas. Los servidores de Cybercop se basan en pares cliente/servidor.Pruebe toda la red y establezca un nuevo estándar de la industria: protección de seguridad multidimensional. Cuándo...
La característica más importante del entorno de red actual es la imprevisibilidad, que es la primera línea de defensa de los servidores web.
Es un firewall y el servidor web proporciona HTTP, FTP y otros protocolos web.
Es diferente de otros canales estándar. Muchos piratas informáticos utilizan estos protocolos web para evitarlos. defensas.
Prevención de cortafuegos y otros mecanismos de seguridad. El servidor de policía de red puede ingresar con éxito al sistema después de un ataque de piratas informáticos
Descubrir al atacante antes que el sistema e informarlo al administrador de seguridad del sistema de manera oportuna.
El servidor Cybercop proporciona servicios de detección en tiempo real. La policía cibernética de Naishi
ver adopta la tecnología patentada "watchdog box", que puede detectar ataques en tiempo real.
Puede resolver el problema de la interrupción anormal del servidor web y los ataques ilegales. usuarios que intentan reemplazar al superusuario
El contenido del servidor web ha sido modificado ilegalmente, intrusos ilegales en la red e inicios de sesión ilegales.
Espera. Los servidores de Cybercop también pueden proporcionar contramedidas automatizadas. Después de detectar un ataque a la empresa, se pueden iniciar automáticamente contramedidas de programación, como finalizar el proceso de inicio de sesión y finalizar el procesamiento.
Procedimiento, paginación o correo electrónico al administrador de red, reiniciar el servidor de red,
generar trampas SNMP, etc. Los servidores de Cybercop permanecen abiertos para que los usuarios puedan acceder a ellos.
Desarrollar interfaces de programación que puedan colaborar con otros productos de seguridad para aumentar aún más
la solidez de la seguridad del sistema.
Cyber Network es uno de los productos de seguridad de red de NAI. Sus principales funciones son:
Puede ser una mano que monitorea el tráfico de la red a través de bucles en un entorno de red complejo.
Protección de segmentos * * * Recursos compartidos en la red. Cyber Police Network proporciona derechos ininterrumpidos
Monitoreo de red y alertas en tiempo real de intentos de ataque. Cybernet es
Un sistema de detección de ataques basado en datos de auditoría que resulta útil tanto para ataques internos como externos.
El abuso de autorización puede generar alarmas precisas y oportunas; también puede identificar a la persona que está siendo atacada
Componentes del sistema, registrar actividades del sistema, capturar pistas de ataque, etc.
El sistema de red cibernética consta de sensores inteligentes y s.
Los sensores se distribuyen en lugares sensibles y vulnerables de la red, como conexiones de área amplia y accesos telefónicos.
Conexiones, servidores centralizados, segmentos específicos, etc. Este producto proporciona reglas para monitorear, filtrar
y bloquear el tráfico de red, lo que puede monitorear efectivamente la red y detectar
intentos de ataque, enviar alarmas/alarmas por correo electrónico y registros de eventos en De manera oportuna, también existe
la capacidad de enviar páginas a los administradores de seguridad y tomar contramedidas. Los sensores pueden ser
recolectores de información configurados según las necesidades de la organización/empresa para adaptarse a la política de seguridad del sistema.
.
Cybercop puede generar informes en varios formatos, incluidos HTML, texto ASC,
formato RTF y formato delimitado por comas.
2) RealSecure
2.0 de ISS (Internet Security System) para Windows NT es una solución de detección de ataques líder en el mercado. RealSecu
Re 2.0 proporciona una arquitectura de seguridad distribuida donde múltiples motores de detección pueden monitorear diferentes
e informar a una consola de administración central. La comunicación entre la consola y el motor se puede utilizar RSA de 128 bits para autenticación y cifrado.
(3)3)Session-wall-3 de Abirnet es una seguridad con una amplia gama de funciones.
Todos los productos, incluidas las capacidades del sistema de detección de ataques.
Session-wall-3 proporciona definiciones para monitorear, filtrar y bloquear el tráfico de red.
Función de regla, por lo que su solución es sencilla y flexible.
Session-wall-3 envía alertas y energía a la consola local tras detectar un ataque.
Correo electrónico, grabación de eventos, y también tiene la función de enviar páginas a los responsables de seguridad.
La función de presentación de informes también es relativamente sólida.
(4) NFR (Netware Flight Recorder) de Anzen proporciona un marco de monitoreo de red que puede realizar tareas de detección de ataques de manera efectiva.
Las empresas OEM pueden personalizar los sistemas de detección de ataques con fines especiales basados en NFR, incluido
Algunas empresas de software han desarrollado sus propios productos NFR.
(5) El sistema IERS (Internet Emergency Response) de IBM
Rvice) consta de dos partes: el Network Patrol Detector y el Boulder Monitoring Center
. El detector NetRanger monitorea la red en busca de firmas digitales identificables de comunicaciones.
Una vez detectada una anomalía, se activará la alarma en el Centro de Monitoreo de Boulder.