攻击空间克隆网

ICS35.
040L80中华人民共和国国家标准GB/T28454—XXXX代替GB/T28454-2012信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作Informationtechnology-Securitytechniques-Selection,deploymentandoperationofintrusiondetectionandpreventionsystems(IDPS)(ISO/IEC27039:2015,MOD)(征求意见稿)(在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上)XXXX-XX-XX发布XXXX-XX-XX实施目次前言II引言III1范围12规范性引用文件13术语和定义14缩略语65背景76总则77选择87.
1简介87.
2信息安全风险评估87.
3主机或网络IDPS97.
4考虑事项97.
5补充IDPS的工具137.
6可伸缩性167.
7技术支持177.
8培训178部署178.
1总则178.
2分阶段部署178.
3NIDPS部署188.
4HIDPS部署198.
5防护和保护IDPS信息安全209操作209.
1总则209.
2IDPS调试209.
3IDPS脆弱性219.
4处理IDPS报警219.
5响应选项229.
6法律方面的考虑事项24附录A(资料性附录)入侵检测和防御系统(IDPS):框架和需考虑的问题25附录B(资料性附录)GB/T28454-XXXX与GB/T28454-2012技术变化41参考文献43前言本标准依据GB/T1.
1-2009和GB/T20000.
2-2009给出的规则起草.
本标准代替GB/T28454-2012《信息技术安全技术入侵检测系统(IDS)的选择、部署和操作》.
与GB/T28454-2012相比,主要变化如下:——结构变化主要是:将原标准悬置段修改为独立章节(见7.
1、7.
3.
1、7.
4.
7.
1、7.
4.
9.
1、7.
5.
1、8.
1、8.
3.
1、9.
1、9.
4.
1、9.
5.
1、9.
6.
1、A.
2.
1、A.
3.
1、A.
3.
4.
2.
1、A.
3.
4.
3.
1、A.
3.
4.
5.
1、A.
4.
1、A.
6.
2.
1、A.
6.
2.
1、A.
7.
1);——技术变化见附录B.
本标准与ISO/IEC27039:2015的主要差异及其原因如下:——题目勘误,将"operations"修改为"operation"(见英文题目);——标准结构:因引用国际标准中没有的入侵检测和防御产品安全等级等相关标准,同时标准中缩略语较多,保持与旧版标准延续性,增加了第2章"规范性引用文件"和第4章"缩略语";——标准7.
3.
1节中增加了"当组织对IDPS产品有安全等级方面的要求时,见GB/T20275和GB/T28451",主要考虑对IDPS产品安全等级保护要求;——增加了资料性附录B.
本标准修改采用国际标准ISO/IEC27039:2015《信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作》.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
本标准起草单位:山东省标准化研究院、中国信息安全认证中心、陕西省网络与信息安全测评中心、北京天融信网络安全技术有限公司本标准主要起草人:王曙光、王庆升、王凤娇、魏军、公伟、张斌、杨帆、雷晓峰本标准所代替标准的历次版本发布情况为:GB/T28454-2012.
引言组织在选择及部署入侵检测和防御系统(IDPS)之前,不仅宜知道其网络、系统或者应用的入侵何时发生、是否发生以及如何发生,也宜知道入侵利用了何种脆弱性,以及为防止类似入侵,未来将实施何种防护措施或适当的风险处置手段(即风险缓解、风险保留、风险规避、风险分担).
组织也宜识别并避免基于网络的入侵.
在20世纪九十年代中期,组织开始使用入侵检测和防御系统(IDPS)来满足这些需求.
随着一系列IDPS产品的出现,IDPS的应用不断扩大,以满足组织持续增长的对入侵检测和防御能力的需求.

为了从IDPS得到最大的效益,宜由经过培训、经验丰富的人员谨慎策划和实施选择、部署和操作IDPS的过程.
当过程实现时,IDPS产品能帮助组织获得入侵信息,并能在整个信息和通信技术基础设施中担当重要安全设施的角色.

本标准提供了有效选择、部署和操作IDPS的指南,以及IDPS的基础知识.
同时本标准适用于考虑外包其入侵检测功能的组织.
外包服务级别协议的信息可在基于ISO/IEC20000的IT服务管理过程中找到.
本标准主要用于帮助:组织满足GB/T22080-2016的下列要求:组织应实施过程和其他控制以能快速检测和响应安全事件;组织应执行监视和评审过程以及其他控制以恰当识别企图的安全危害和既成的安全事件.
组织实现控制以满足GB/T22081-2016的下列安全目标:检测未授权的信息处理活动;宜监视系统并记录信息安全事态.
宜使用操作者日志和默认日志以确保信息系统问题被识别;组织宜符合所有适用于监视和记录活动的相关法律要求;系统监视宜被用于检查已实施控制的有效性,以验证访问策略模型的符合性.
组织宜认识到对满足上述要求来说,部署IDPS不是唯一的和(或)完善的解决方案.
此外,本标准不倾向于作为合格评定的准则,例如信息安全管理体系(ISMS)认证、IDPS服务或产品认证.
信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作范围本标准给出了帮助组织准备部署入侵检测和防御系统(IDPS)的指南.
特别地,本标准详细说明了IDPS的选择、部署和操作.
同时本标准给出了得到这些指南的背景信息.
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T18336(所有部分)信息技术安全技术信息技术安全性评估准则(ISO/IEC15408(所有部分),IDT)GB/T20275信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20985.
1-2017信息技术安全技术信息安全事件管理第1部分:事件管理原理(ISO/IEC27035-1:2006,IDT)GB/T22080-2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)GB/T22081-2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013,IDT)GB/T25068.
2-XXXX信息技术安全技术网络安全:第2部分:网络安全设计和实施指南(ISO/IEC27033-2:2012,IDT)GB/T25068.
3-2010信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护(ISO/IEC18028-3:2005,IDT)GB/T28451信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)GB/T32920-2016信息技术安全技术行业间和组织间通信的信息安全管理(ISO/IEC27010:2012,IDT)ISO/IEC27033-1:2009信息技术安全技术网络安全:第1部分:综述和概念术语和定义GB/T29246-2017界定的及下列术语和定义适用于本文件.
攻击attack在信息系统中,对系统和/或信息进行破坏、泄露、篡改或使其丧失功能的尝试或者违背其安全策略.
攻击特征attacksignature执行某种攻击的计算机活动系列或其变体,通常通过检查网络流量或主机日志加以确定,IDPS也依其来发现已经发生的攻击.
注:这也可称为一个攻击模式.
证明attestation公钥加密而产生的变量,可使IDPS软件程序和设备鉴别其远程方的身份.
注:见2.
23远程证明.
网桥bridge将位于OSI2层的局域网连接到采用相同协议的另一局域网的网络设备.
密码散列值cryptographichashvalue分配给一个文件并在后期用来测试这个文件的数学值,以验证包含在文件中的数据没有被恶意更改.
拒绝服务攻击(Denial-of-Service)attackDoS通过洪水攻击带宽或目标系统的资源,破环多个系统的方式来未授权访问系统资源或者延迟系统操作和功能,使授权用户损失可用性.
.
分布式拒绝服务攻击distributedDenial-of-ServiceattackDDoS通过洪水攻击带宽或目标系统的资源,破环多个系统的方式来未授权访问系统资源或者延迟系统操作和功能,导致授权用户失去可用性.
非军事区DemilitarizedzoneDMZ位于边界路由器和外部防火墙之间的逻辑或者物理网络空间.
DMZ可位于网络之间,如有必要可置于密切观察之下.
他们通常是包含了提供公共域安全的堡垒主机的不安全区域.
(漏洞)利用exploit已明确定义的利用脆弱性破坏信息系统安全的一种方式.
防火墙firewall设置在网络环境之间的一类屏障.
它可以是一台专用设备,也可以是若干部件和技术的组合.
网络环境间所有通信都要流经防火墙,只允许按照本地安全策略定义的、已授权的通信通过.
[引自:ISO/IEC27033-1:2009]误报falsepositive没有攻击时IDPS有报警的情况.
漏报falsenegative攻击发生时IDPS没有报警的情况.
蜜罐honeypot用来欺骗、扰乱和引开攻击者的诱饵系统,促使攻击者把时间花在某些信息上,这些信息看起来有价值,实际上是虚假的,对合法用户没有任何价值.
主机host基于TCP/IP协议网络(如Internet),可设定地址的系统或计算机.
入侵者intruder针对目标主机、站点、网络或组织,正在或已经进行入侵或攻击的个体.
入侵intrusion对某一网络或联网系统的未授权访问,即对某一信息系统的有意或无意的未授权访问,包括针对信息系统的恶意活动或者信息系统内资源的未授权使用.
入侵检测intrusiondetection检测入侵的正式过程.
该过程一般特征为采集如下知识:反常的使用模式、被利用的脆弱性及其类型、利用的方式,以及何时发生和如何发生.
入侵检测系统intrusiondetectionsystemIDS在信息系统和网络中,一种用于辨识某些已经尝试、正在发生或已经发生的入侵行为,并可对其做出响应的技术系统.
入侵防御系统intrusionpreventionsystemIPS特别设计用来提供主动响应能力的入侵检测系统的变体.
入侵检测和防御系统intrusiondetectionandpreventionsystemIDPS为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备,IDS仅能对发现的这些活动予以报警,而IPS则有能力阻止某些检测到的入侵.
注:如果需要防范攻击,IPS将主动部署在网络中.
如果部署在被动模式下,它将不能提供上述功能,其有效功能仅能像常规IDS那样提供报警.
渗透penetration绕过系统安全机制、未经授权的行为.
在线升级provisioning为信息技术(IT)设备安装正确软件、执行安全策略及加载配置数据的过程.
远程证明remoteattestation使用数字证书来确保IDPS的身份及其软件和硬件配置,并安全地将信息传输到可信操作中心的过程.
响应response事件响应或入侵响应incidentresponseorintrusionresponse当攻击或入侵发生时,为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的行动.
路由器router通过基于路由协议机制和算法选择路径或路由,建立和控制不同网络之间数据流的网络设备.
其自身可基于不同的网络协议.
路由信息存储在路由表内.
[引自:ISO/IEC27033-1:2009]服务器server为其他计算机提供服务的计算机系统或程序.
服务级别协议ServiceLevelAgreementSLA规定技术支持或业务性能目标的合同,包括服务提供方提供给其客户的性能以及对失败结果的测量.
传感器sensor从被观察的信息系统或网络中,通过感知、监测等收集事态数据的一种IDPS部件或代理.
注:也称为监视器.
子网subnet在某一网络中,共享某一公共地址成分的部分.
交换机switch在联网的设备之间,一种借助内部交换机制来提供连通性的设备.
其交换技术通常在OSI参考模型的2层或3层实现.
注:交换机不同于其他局域网互联设备(例如集线器),原因是交换机中使用的技术是以点对点为基础建立连接.
确保了网络通信量只对有地址的网络设备可见,并使几个连接能够并存.
[引自:ISO/IEC27033-1:2009]测试接入点TestAccessPointsTAP典型的被动设备,不会在网络信息包中加装任何负载;当它们使数据收集接口在网络中不可见时,也能提高安全级别,在这里交换机仍然可保持端口的2层信息.
注:TAP也给出了多端口的功能,这样在不丧失IDPS能力的情况下,可以调试网络问题.
特洛伊木马trojanhorse一种伪装成良性应用软件的恶意程序.
病毒virus一种带有不良意图的恶意软件,可直接或间接地对用户和(或)用户系统造成潜在伤害.
虚拟专用网virtualprivatenetworkVPN一种采用隧道技术连接的虚拟网络,即受限使用的逻辑计算机网络,该网络基于物理网络系统资源所构建,穿越实际网络建立连接.
[引自:GB/T25068.
3-2010]脆弱性vulnerability可能被一个或多个威胁利用的资产或控制措施的弱点.
[引自:GB/T29246-2017]缩略语下列缩略语适用于本文件.
AIDPS基于应用的IDPSApplication-BasedIDPSAPI应用程序编程接口ApplicationProgrammingInterfaceARP地址解析协议AddressResolutionProtocolCGI通用网关接口CommonGatewayInterfaceCPU中央处理器CentralProcessingUnitDMZ非军事区DemilitarizedZoneDNS域名系统DomainNameSystemDDoS分布式拒绝服务DistributedDenialofServiceDoS拒绝服务DenialofServiceICMP网际控制报文协议InternetControlMessageProtocolIDS入侵检测系统IntrusionDetectionSystemIDPS入侵检测和防御系统IntrusionDetectionandPreventionSystemsI/O输入/输出Input/outputIODEF事件对象描述交换格式IncidentObjectDescriptionExchangeFormatIP网际协议InternetProtocolIPS入侵防御系统IntrusionPreventionSystemISIRT信息安全事件响应团队InformationSecurityIncidentResponseTeamIT信息技术InformationtechnologyHIDS基于主机的入侵检测系统Host-basedIDSHIDPS基于主机的IDPSHost-basedIDPSHIPS基于主机的入侵防御系统Host-basedIPSHTTP超文本传送协议HypertextTransferProtocolMAC媒体访问控制MediaAccessControlMIB管理信息库ManagementInformationBaseNIDPS基于网络的IDPSNetwork-basedIDPSNIPS基于网络的入侵防御系统Network-basedIPSNOC网络操作中心NetworkOperationsCenterOSI开放系统互连OpenSystemInterconnectionRID实时网络防御Real-timeIntern-networkDefenceROI投资回报率ReturnOnInvestmentSIEM安全信息和事态管理SecurityInformationEventManagementSMS短消息系统ShortMessageSystemSLA服务级别协议ServiceLevelAgreementSMTP简单邮件传送协议SimpleMailTransferProtocolSNMP简单网络管理协议SimpleNetworkManagementProtocolSPAN交换机端口分析器SwitchPortAnalyzerTAP测试接入点TestAccessPointsTCP传输控制协议TransportControlProtocolUDP用户数据报协议UserDatagramProtocolVPN虚拟专用网络VirtualPrivateNetwork背景入侵检测和防御系统(IDPS)的目的是被动监视、检测和记录不适当的、不正确的、可疑的或者异常的活动,当这些可能代表入侵的活动被检测到时,IDPS会发出报警和(或)自动响应.
专职IT安全人员的职责是主动评审IDPS报警和相关日志以对恰当的响应做出决策.
当组织需要迅速检测对组织信息系统的入侵并进行适当响应时,宜考虑部署IDPS.
组织可通过获取IDPS软件和(或)硬件产品来部署IDPS,也可通过向IDPS服务提供商外包IDPS能力的方式部署IDPS.

有许多商业的或者开源的IDPS产品和服务,它们基于不同的技术和方法.
此外,IDPS并不是即插即用技术.
因此当组织准备部署IDPS时,宜至少熟悉本标准提供的指南和信息.
附录A列出了关于IDPS的主要基础知识.
该附录解释了不同类型IDPS的特征:基于网络的IDPS(NIDPS),其特征为监视特定网络段或设备的网络流量,分析网络和应用协议活动以识别可疑活动;基于主机的IDPS(HIDPS),其特征为监视单个主机及发生在主机中的事件特征,通过三种基础方法对可疑活动进行检测分析,即基于特征检测、基于异常统计检测、状态协议分析检测.
行为分析方法可应用于基于网络和基于主机的IDPS.
此方法检查网络流量和主机活动以识别产生异常行为的威胁,例如分布式拒绝服务(DDoS)攻击、暴力攻击、特定形式恶意软件和违反策略(例如客户端系统给其他系统提供网络服务).

基于主机的入侵检测和防御系统(HIDPS)的信息来源于一个或多个主机,而基于网络的入侵检测和防御系统(NIDPS)的信息来源于一个或多个网络段的流量.
基于误用的方法把信息系统所受的攻击建模为特定的攻击特征,然后对系统进行整体扫描,统计攻击特征次数.
本过程需要对前期认为带有入侵或恶意性的行为和活动进行特定编码.
基于异常的方法则试图通过发现严重异常行为来检测入侵,该方法基于这样一个假设,这些攻击行为不同于正常的或合法的行为,因此系统能够识别这些差异并检测出来.

组织宜认识到不同信息来源和不同分析方法的优点、缺点或限制,它们可影响检测特定攻击的能力,并能影响安装、维护IDPS的难度.
总则IDPS的功能和局限性(见附录A)表明,组织宜把基于主机(包括应用监视)和基于网络的方法结合起来,以达到完全涵盖潜在入侵的效果.
每类IDPS都有其特长和局限性,结合在一起,它们能提供更好的安全事态覆盖和报警分析的能力.

不同IDPS技术的组合依赖于报警管理系统中关联引擎的可用性.
人工关联HIDPS和NIDPS报警信息可能导致操作人员超负荷工作,没有其他任何优点,其结果比从单一的IDPS中选取最合适的输出方式更糟.

在组织内选择、部署和操作IDPS的过程如图1所示,后续章节将详细描述本过程中的关键步骤.
图1IDPS的选择、部署和操作选择简介有许多IDPS产品和产品系列可供选择.
这些产品涵盖从能在低成本主机上部署的免费产品到需最新硬件支撑的极为昂贵的商用系统.
因为可选择的IDPS产品太多,从中选择最符合组织需求的IDPS产品非常困难.
此外,各种不同IDPS产品之间可能存在着有限制的兼容性.
另外,由于组织的合并及潜在广泛的地理分布,组织可能不得不使用不同的IDPS,这些不同IDPS的集成也是巨大的挑战.

在一个大流量的运行网络中,厂商说明书可能无法描述IDPS能如何很好的检测入侵,以及部署、操作和维护IDPS的难度有多大.
厂商可指出能检测到哪些攻击,但是在对组织网络流量缺乏了解的前提下,描述IDPS如何有效地执行并避免误报和漏报是非常困难的.
IDPS的主动和反应能力也需要独立评估,并映射到组织要求上.
上述过程宜包括深度数据包检测和重组的需要,而不是网络性能和成本考虑的需要.
因此仅依赖厂商提供的IDPS能力信息是不够的,也不建议组织这么做.

GB/T18336(所有部分)可用于IDPS评价.
在这种情形下,相比厂商说明书,称为"安全目标"的文档可包含IDPS性能方面更精确和可靠的描述.
组织宜在选择过程中使用这个文档.
下列子章节提供了在IDPS选择过程中宜被组织使用的要素.
信息安全风险评估在选择IDPS之前,组织宜执行信息安全风险评估,其目的是识别针对组织可能存在脆弱性的特定信息系统的攻击和入侵(威胁),并考虑如下因素,诸如系统使用信息的性质以及需要如何保护这些信息、使用的通信系统类型以及其他操作和环境的因素.
在组织特定信息系统安全目标的背景下,通过考虑这些潜在威胁,组织能识别可以有效减缓风险并具有成本效益的控制.
已识别的控制为IDPS提供的功能提供需求基础.

注:信息安全风险评估和管理是GB/T22080-2016标准的主题.
一旦安装了IDPS且IDPS是可操作的,宜根据系统操作和威胁环境的变更,持续实施风险评估过程,以便周期性评审控制的有效性.
主机或网络IDPS概述IDPS部署宜基于组织风险评估和资产保护优先级.
在选择IDPS时,宜研究监视事态最有效的方法.
基于主机的IDPS(HIDPS)和基于网络的IDPS(NIDPS)可一起部署.
安装和维护NIDPS通常是最简单的,因此在选择IDPS监视方法时,组织宜由NIDPS开始分阶段实施,然后在关键的服务器上部署HIDPS.

每种选择都有其优点和缺点.
例如外部防火墙能有效阻止大量需要扫描的报警事态,因此当IDPS部署在外部防火墙之外时,IDPS能产生大量不要求仔细分析的报警.
当组织对IDPS产品有安全等级方面的要求时,见GB/T20275和GB/T28451.
基于主机的IDPS(HIDPS)选择HIDPS需要识别目标主机.
鉴于在组织每台主机上全面部署HIDPS非常昂贵,只能在关键主机上部署HIDPS.
因此HIDPS的部署宜根据风险分析结果和成本效益的考虑进行优先级排序.
当HIDPS部署在所有或者相当大数量的主机上时,组织宜部署具备集中管理和报告功能的IDPS.

基于网络的IDPS(NIDPS)当部署NIDPS时,考虑的主要因素是在什么位置放置系统传感器,可选项包括:在外部防火墙之内;在外部防火墙之外;在主要的骨干网络上;在关键子网上.
考虑事项系统环境组织宜在安全风险评估的基础上,按照优先顺序,首先确定保护什么资产,然后定制适合环境的IDPS.
要实现这个目标,至少需要收集以下系统环境信息:详细说明主机数量和位置、网络入口以及与外部网络连接点的网络拓扑图;企业网络管理系统的描述;每个主机的操作系统;网络设备的数量和类型,如路由器、网桥和交换机;服务器和拨号线路的数量和类型;任意网络服务器的描述,包括类型、配置、应用软件和正在运行的版本;与外部网络的连接,包括标称带宽和支持协议;与引入连接路径不同的文档返回路径,即不对称数据流.
安全保护机制在记录系统环境的技术属性之后,宜识别已安装的安全保护机制.
至少需要以下信息:非军事区(DMZ);防火墙和过滤路由器的数量、类型和位置;身份鉴别服务器;数据和通信链路加密;反恶意软件或反病毒包;访问控制产品;专业的安全硬件如加密硬件;虚拟专用网络(VPNs);任何其他已安装的安全机制.
IDPS安全策略在识别系统和通用的安全环境之后,宜确定IDPS的安全策略.
安全策略至少需要回答以下关键问题:要监视什么信息资产;未成功打开或未成功关闭情形采取什么策略;需要什么类型的IDPS;IDPS能放置在什么位置;要检测什么类型的攻击;要记录什么类型的信息;当检测到攻击时能提供什么类型的响应或报警.
IDPS安全策略体现了组织为IDPS投资的目标.
这是尝试从IDPS资产获得最大收益的最初步骤.
为了详细说明IDPS安全策略目的和目标,组织宜首先识别来自内部和外部的风险.
组织宜了解,一些IDPS厂商把IDPS安全策略定义为一组IDPS用来产生报警的规则.
现有组织安全策略的评审宜提供针对IDPS需求的模板,模板可根据保密性、完整性、可用性和抗抵赖性的标准安全目标进行明确和规定,也可根据更普遍的管理目标如隐私、责任保护和易管理性等进行明确和规定.

当IDPS检测到违反安全策略的事件发生时,组织宜确定IDPS如何应对.
特别是,当组织希望主动响应某些类型的违背时,宜配置IDPS来这样做,而且操作人员宜了解组织的响应策略,这样他们能够以适当的方式处理报警.
例如,可请求执法机构调查以帮助安全事件的有效解决.
相关信息(包括IDPS日志)可能被要求移交到法律实施实体,以获得法律证据.

安全事件管理相关的其他信息可在GB/T20985中查找.
性能在选择IDPS时,性能是另外一个考虑因素.
至少宜回答以下问题:IDPS需要处理多大的带宽;当在给定的带宽下操作时,可容忍误报到什么程度;是否能为高速IDPS成本提供正当理由,或者是否中速或者低速的IDPS就能满足;因为IDPS性能的局限性错过潜在入侵的后果是什么;当深度包检测和重组发生时,会有什么性能影响.
可持续性能的定义是,在给定的带宽利用范围之内持续检测攻击的能力.
在多数环境中,几乎不会容忍这样的IDPS:它会错过或者漏掉可能是攻击一部分的流量包.
在某些时候,当带宽和(或)网络流量增加时,许多IDPS将不再能够有效和持续地检测入侵.

负载均衡和调整的结合能提高效率和性能.
例如:需要组织有关网络及其脆弱性的知识:每个网络都是不同的;组织宜明确什么样的网络资产需要保护,以及什么样的攻击特征的调整可能与这些资产相关.
这通常通过风险评估过程来完成.
当IDPS被配置成处理有限数量的网络流量和服务时,多数IDPS的性能能够更好.
例如有许多电子商务业务的组织需要监视所有HTTP流量并调整一个或多个IDPS,以查找与WEB流量相关的唯一攻击特征.

适当的负载均衡配置能使基于特征的IDPS运行更快更彻底,因为基于IDPS的标记仅需要遍历优化后更小的攻击特征数据库进行处理,而不是遍历所有可能攻击特征的数据库进行处理.
在IDPS部署中,负载均衡用来分离可用带宽.
然而,带宽分离可能产生问题,如附加的成本、间接管理费用、流量失调、报警复制和漏报.
此外,当前的IDPS技术即将达到G比特速度,造成的结果是与负载均衡的效益成本比可能是最小的.

能力的验证依赖于厂商提供的有关IDPS能力信息通常是不够的.
组织可要求厂商附加说明,或者给出适用于组织环境和安全目标的特定IDPS适用性的示范.
当目标网络扩容时,多数IDPS厂商有调整产品的经验,一些厂商则致力于支持在威胁环境中的新协议标准、平台类型和变更.
组织宜要求IDPS厂商至少回答如下问题:IDPS在特定环境中的适用性该做何种假设;为验证IDPS能力声明而执行的测试细节是什么;对IDPS操作员做什么假设;提供什么样的IDPS接口(例如重要接口类型包括物理接口、通信协议、与关联引擎连接的报告格式);报警输出机制或格式是什么,以及它们是否有据可查(例如格式、系统日志消息或简单网络管理协议(SNMP)消息的管理信息库(MIB));在工作时间,IDPS接口是否能与快捷键、定制的报警特性以及攻击特征一起配置;在IDPS可在工作时间配置的情形下,能够提供该能力的特性是否都有据可查;产品能否适应组织系统基础设施的发展和变更;IDPS产品能否适应日益扩展和变化的网络;IDPS是否提供自动防故障和故障排除能力,以及这些能力如何与网络链路层上的相同能力集成;IDPS是否为报警使用专用网络,或者报警与监视是否使用相同的网络进行传输;在质量保证、发现脆弱性的响应和产品性能记录方面,厂商的信誉如何.
成本购买IDPS的成本并不是购买者花费的实际成本.
附加成本包括:运行IDPS软件系统的购置成本、安装和配置IDPS的专项补助、人员培训和维护成本.
管理系统和分析结果的人员是最大的成本.
测量IDPS成本的有效方法是投资回报率(ROI)或成本与效益分析.
在这种情形下,组织基于管理入侵时实现了的节省成本来计算ROI.
购买和操作IDPS的成本要与解决报警所需的人员成本以及由虚假报警和不恰当响应导致的间接成本相平衡,如由于无法确定信息系统哪部分遭到损害而重装信息系统.

运行IDPS的好处包括:识别有缺陷的或错误配置的设备;即时确认配置;提供早期系统使用情况统计.
为作出有关IDPS的财务决策,购买者需要回答IDPS总成本的问题.
为此宜分析在组织内部署IDPS的花费.
IDPS成本分析至少需要回答以下问题:购买IDPS的初始资本性支出预算是多少;IDPS操作要求的时间段是什么,如7*24h或者更少;处理、分析和报告IDPS输出需要的基础设施是什么,以及它的成本是多少;组织是否按照其安全策略配置IDPS所需的人员和其他资源,是否有操作、维护、更新和监视IDPS输出以及响应报警的人员和资源,如无,如何实现这些功能;是否有用于IDPS培训的资金;部署的范围是什么,如果使用HIDPS,将保护多少台主机.
通过向远程控制的入侵检测服务提供商外包IDPS监视和维护功能来分摊日常管理成本,组织的成本可能更少.
响应是IDPS部署最昂贵的部分.
其主要成本包括确定响应方式、建立响应队伍、开发和部署响应策略以及培训和演练.
更新总则多数IDPS基于攻击特征,IDPS的价值仅相当于针对事态分析的攻击特征数据库.
因为经常发现新的脆弱性和攻击,因此需要经常更新IDPS攻击特征数据库.
组织至少宜考虑下列因素:更新的及时性;内部分发的有效性;实施;系统影响.
基于特征的IDPS更新的及时性维护当前的攻击特征对检测已知攻击是必要的.
为确保攻击特征以实时方式更新,至少宜处理以下问题:当发现漏洞利用或者特定的脆弱性时,IDPS厂商发布攻击特征更新有多快;通知程序是否可靠;是否能够保证攻击特征更新的真实性和完整性;如果须在组织内定制攻击特征,是否具备足够可用的技术;为了立即响应高风险脆弱性或持续攻击,是否具备写入或者接收定制攻击特征的可能性.
内部分发的有效性和实施组织是否能在一定时间范围内向所有相关系统快速分发和实施具体更新.
在许多情形下,宜修改攻击特征的更新资料,以包括具体IP地址、端口等.
具体来说,在企业网络信任边界内至少宜回答如下问题:在可手动分发的情况下,管理员或用户是否会在可接受的时间范围内实施攻击特征更新;是否能测量自动分发和安装过程的有效性;是否具备有效跟踪攻击特征更新变更情况的机制.
系统影响为了将攻击特征更新对系统性能的影响最小化,至少宜回答下列问题:攻击特征的更新是否影响重要服务或应用的性能;是否可能选择性关注攻击特征的更新,这对避免冲突以及影响服务或应用的性能是必要的.
报警策略IDPS配置和操作宜基于组织的监视策略.
组织至少宜确保IDPS能支持组织现有基础设施的特定报警方法.
可支持的报警属性包括电子邮件、网页、短信系统(SMS)、SNMP事态以及攻击源的自动阻止.

当IDPS数据用于取证目的时,包括为了内部纪律而进行的举证,需依据法律法规要求来处理、管理、应用或提交IDPS数据.
身份管理总则在无人干涉的情况下,身份管理是实现IDPS远程证明和在线升级的关键基础.
这些能力需要创建和使用可信第三方作为权威机构,尽管存在差异,但其作用与常假定为公钥基础设施中一部分的权威机构相类似.
这些能力对无缝、安全、可控的IDPS数据和企业网络信任边界中的IDPS身份交换也很重要.

远程证明IDPS可包含数百万行代码.
在如此庞大的代码中,很难发现有意插入的恶意软件,因此可能允许攻击者控制IDPS输出.
因此,对IDPS软件和硬件的访问控制进行严格鉴别是非常重要的,并宜部分基于发起访问请求的实体身份.
远程证明在无人发出指令的情况下,能提供这种访问控制能力.

在硬件中,远程证明通过产生加密证书或者散列值来验证设备或者在无人设备上运行软件的身份.
该身份通过最简单的形式以加密散列值来表示,此加密散列值用于区分不同的软件程序或者设备以及发现软件中的变更.
在IDPS用户请求中,证书可提供给任何远程方,原则上也有校验远程方的作用,即IDPS正在使用预期的和未被改动的软件.
如果IDPS上的软件被改动,生成的证书会反映出IDPS的编码基础已被改变.

就IDPS来说,远程证明的目的是检测IDPS软件的未授权变更.
例如,如果攻击者已经替换或者修改了一个IDPS应用或者带有恶意替换版本的IDPS操作系统的一部分,散列值不会被远程服务或其他软件认可.
因此,远程方(如网络操作中心NOC)能检测到被病毒或者木马破坏的IDPS软件,并随之能对这些信息有所动作.
因为证明是远程的,与IDPS相联合的其他IDPS也宜知道特定的IDPS已被损害.
因此在IDPS未修复前,他们能避免向其发送信息.

基于以上的原因,IDPS宜远程向网络操作中心(NOC)证明或报告其状态、配置或者其他重要信息.
证明能力或IDPS鉴别对评估IDPS的健壮性和执行众多IDPS配置及更新操作的能力是很关键的.
更明确的是,证明是远程测试IDPS完整性的能力.
汇总后的IDPS证明报告提供了网络防御状态的态势评估,是整个网络态势评估能力的关键部分.

在线升级当远程证明检测到IDPS的问题时,需要正确的行动以缓解问题.
这能通过允许网络操作中心(NOC)推送IDPS的已鉴别配置、软件更新和补丁来完成.
业界已采纳术语"在线升级",涵盖了为IT设备(也包括IDPS)安装正确软件、执行安全策略及加载配置数据的过程.
在线升级的目标是尽可能的远程处理.
既节约了物理访问单个IDPS的人力成本,又允许更及时地缓解问题,特别是攻击特征的更新.
为了行之有效,IDPS在线升级能力需要从操作中心安全地推出,并由IDPS安全地拉入.
在后一种情形中,IDPS宜具备安全的和自动的能力以从厂商网站远程搜查新的软件更新并及时下载已鉴别的更新.

补充IDPS的工具总则组织宜迅速检测入侵并减轻由入侵引起的破坏.
组织也宜理解,对于实现这些目标,IDPS并不是唯一的和(或)完善的解决方案.
一些网络设备和信息技术工具可提供IDPS提供的能力.
组织宜考虑部署这些设备和工具以加强和补充IDPS的能力.

这些设备和工具的例子包括:文件完整性检查器防火墙或安全网关蜜罐网络管理工具安全信息和事态管理(SIEM)工具病毒/内容保护工具脆弱性评估工具文件完整性检查器文件完整性检查器是辅助IDPS的另一类安全工具.
它们利用关键文件和对象的信息摘要或者其它的加密校验码,与参考值相比较,标记差异或者变更.
由于攻击者经常会修改系统文件,在攻击的三个阶段使用加密校验码是很重要的.
第一(阶段),他们修改了作为攻击目标的系统文件(例如,放置木马).
第二(阶段),他们试图在系统内留下后门,以便随后能重新进入.
最后(阶段),他们试图掩盖痕迹,使得系统责任人可能意识不到攻击.

优点:确定厂商提供的bug补丁或者其它期望变更是否已经运用于系统二进制文件;允许对攻击痕迹进行快速可靠的诊断,特别是对已经被攻击的系统进行取证检查时;攻击者经常修改或者替换系统文件,并利用技术手段保留文件属性,这些文件属性由系统管理员进行定期评审;使用加密校验码的完整性检查工具依然能检测任何变更或者修改;允许对数据文件的修改进行识别.
缺点:在分析期间,可能要求启动和关闭信息系统或者至少是被验证的系统.
防火墙防火墙(参见GB/T25068.
2)的主要职责是限制网络间的访问.
简单的防火墙基于组织可访问的源IP地址、目的IP地址和端口号来过滤网络流量.
例如组织可能仅希望接受电子邮件服务器(端口号25)或者web服务器(端口号80)的流量.
然而,应用级防火墙使用应用协议信息提供更复杂的过滤.
当防火墙位于一个封闭区域内时,它能减少NIDPS需要检查的流量.

当一些被阻止的流量试图通过防火墙时,多数防火墙在监视网络信息内容和发起警告方面的能力是有限的.
相比而言,NIDPS专门用来检查网络包,检测合法和非法流量的构成,并在检测到网络包中的恶意内容时,能发出报警.
在很多情形下,如有需要,NIDPS报警能用来改变防火墙的过滤参数.

当在防火墙内侧部署NIDPS时,适当配置的防火墙会大大减少由NIDPS检查的包的数量.
这样的NIDPS配置能极大地提高NIDPS的精确性,因为当对进入NIDPS的流量进行控制时,能消除由扫描活动引起的因特网背景噪音.

蜜罐蜜罐是诱骗系统的专业术语,用来欺骗、分散、转移并引诱攻击者在看似有价值的信息上花费时间,但这些信息实际上是捏造的,对合法用户来说没有一点价值.
蜜罐的主要目的是收集对组织有威胁的信息,并引诱入侵者远离关键系统.

蜜罐不是一个操作系统,而是能引诱攻击者保持足够在线时间的信息系统,以使组织评估攻击者的意图、技能水平和操作方法.
从分析蜜罐中入侵者的活动得到的信息可使组织更好地理解系统的威胁和脆弱性,从而改进组织IDPS操作.
通过分析蜜罐系统中入侵者的行动而得到的信息能为组织IDPS策略、组织攻击特征数据库以及组织整体方法的发展做出贡献,这个整体方法是避免已知类型的攻击者威胁IDPS的最佳实践.

在所有的情形下,组织只有在从法律建议中寻求指导后,才宜利用蜜罐.
来自蜜罐的数据可认为是一种诱捕技术的形式,因此需确定其数据的合法性.
蜜罐的一些优点和缺点是:优点:攻击者能被转移到他们不能破坏的系统目标;蜜罐不管理已授权的活动,因此任何被蜜罐捕捉到的活动均被认为是可疑的;管理员有更多时间决定如何回应一个攻击者;能更易于且更广泛地监视攻击者的行动,监视结果可用来改进威胁模型和系统保护;可有效捕捉在网络上窥探的内部人员.
缺点:使用此装置的合法性不好确定;一旦进入诱捕系统,攻击者可能变得愤怒并试图对组织系统发动更加充满敌意的攻击;为了使用这些系统,管理员和安全管理者需要高水平的专用技术.
网络管理工具网络管理工具利用不同的主动和被动探测技术来监视网络设备的可用性和性能.
这些工具具有通过收集网络部件和拓扑信息来进行网络基础设施配置和管理的功能.
网络或系统管理工具与IDPS报警的相互关联可帮助IDPS操作者恰当处理报警并评价他们对所监视系统的影响.
安全信息事态管理(SIEM)工具组织使用SIEM来整合管理和报警控制平台的报告.
SIEM能收集来自IDPS、防火墙、嗅探器等的信息,并能减少过载信息,使分析者可以管理海量信息.
第二个也是主要的理由是像这样把数据收集在一起,能使无数小的单包和复合源在雷达控制下长时间关联,而对于单一IDPS来说攻击可能变成漏报.

SIEM工具也可用于处理从IDPS获得的数据.
通常,SIEM工具可用来实现以下功能:在集中数据库中收集和维护与安全相关的不同源的事态数据,可能包含来自一个或多个IDPS的数据、来自网络设备和主机的日志文件以及来自反病毒工具的事件数据;进一步处理收集的数据,特别是提供进一步的过滤、聚合和关联功能;事态关联:通过建立安全和非安全相关事态的情景来检测非模式相关的安全漏洞;事态过滤:通过基于相关性的关联来降低报警级别,例如IDPS报警和安全补丁级别;事态聚合:通过收集和归一化基于源、目的、时间戳和事态描述等的事态,来减轻IDPS报警溢出;为报告相关报警和为对基于所收集数据的报警进行深层次分析提供帮助,提供简单有用的界面.
SIEM工具的主要目标是通过提供自动化方式,区别高威胁的相关报警以及不相关或者没有威胁的误报.
恰当配置的SIEM工具是达到本目标不可缺少的条件,当策划SIEM工具的引入时,组织宜考虑将其作为重要的任务.
当与IDPS系统一起使用时,配置需要高级别专业技术和可观的工作总量.
在正确建设和配置后,SIEM工具能提供高附加值,特别是能提供有价值的信息,触发进一步过程和活动,如事件管理.

病毒/内容保护工具病毒/内容保护工具可通过对特定流量和病毒来源信息的交叉分析,提供附加数据来对IDPS进行补充.
脆弱性评估工具脆弱性评估是风险评估必需的组成部分,对良好的安全审计/符合性检查和战略监视来说,也是有价值的组成部分.
这种评估允许组织查找脆弱性,并在多数情况下推荐纠正措施以减少入侵者利用脆弱性入侵的机会.
因此,使用脆弱性评估能极大地减少IDPS查找攻击的数量.

脆弱性评估重点在于评估给定主机对给定脆弱性的暴露程度.
本评估过程与执行攻击脚本不同.
结果是,IDPS检测脆弱性评估活动失效并不是指IDPS不能检测攻击.
相反的,IDPS对脆弱性扫描活动的检测并不意味着相同的IDPS能恰当地检测攻击.

脆弱性评估工具用来测试网络主机对危险的易感性.
脆弱性评估工具结合IDPS使用,不管是在攻击检测还是攻击反应方面,都为检查IDPS的有效性提供了宝贵的方法.
脆弱性评估工具可通过基于主机或基于网络进行分类.
基于主机的脆弱性工具通过查询数据源(如文件内容)、配置细节和其他状态信息,来评估信息系统的安全.
基于主机的工具允许访问目标主机,通过远程连接在主机上运行.
基于网络的脆弱性工具是用来扫描与网络服务相关联的主机的脆弱性.
为了执行主机或网络脆弱性评估,组织内一定级别的管理者宜批准测试.
使用脆弱性评估工具是对IDPS的补充而不是替代,强调这一点非常重要.

使用脆弱性评估工具的优点和缺点是:优点:脆弱性评估工具为文件化信息系统的安全状态以及恰当地重建安全基线以便在系统变更后回退,提供了有效的方法;定期使用脆弱性评估工具能可靠识别信息系统安全声明中的变更;脆弱性评估工具最大的优点是帮助识别脆弱性;允许组织将已知脆弱性与攻击数据相匹配,以确定攻击是否成功.
缺点和问题:基于主机的脆弱性评估工具是特定的平台和应用,在建立、管理和维护方面通常比基于网络的工具更加昂贵;基于网络的脆弱性评估工具是独立平台,不如基于主机的工具更有针对性;脆弱性评估是消耗资源的活动,可能是不切实际的活动,或者仅以降低系统或网络性能为代价的条件下操作,或者仅在日期和时间要求严格的条件下操作;在许多情况下,脆弱性评估是以周、月、甚至相对于连续性更随机的周期性活动,因此及时检测安全问题可能是一个挑战,甚至有时是不可能的;和IDPS一样,脆弱性评估工具受制于误报或漏报,宜认真分析;重复的脆弱性评估能使许多基于异常的IDPS忽视真正的攻击;需要攻击特征的更新;基于主机的脆弱性评估工具将不会检测网络中的未授权系统.
网络脆弱性评估测试宜仅限于目标系统,在整个过程中宜小心保护任何收集到的数据的隐私.
由脆弱性工具收集到的数据是敏感信息,可能被入侵者用来入侵组织的系统,因此宜保护这些信息.
可伸缩性在使用IDPS之前,组织宜调查特定IDPS的可伸缩性.
许多IDPS在较低的数据传输速率时运行充分,但是当带宽提高时,性能却会降低.
随着越来越多的包丢失且处理失效,IDPS性能降低,这又通常会导致漏报(当攻击产生时没有产生报警)和误报(当没有攻击时产生了报警)的显著增加.
换句话说,许多IDPS不适用于大规模的或者广泛分布式的企业网络环境.

可伸缩性关注的是在NIDPS部署中的广泛应用,但在主机要求高性能的情况下,也应用于HIDPS.
技术支持像其他系统一样,IDPS需要维护和支持.
IDPS不是"即插即用"技术.
许多厂商为客户安装和配置IDPS提供了专家支持.
其他厂商期望组织中的员工能安装和配置IDPS,他们仅通过电话和电子邮件提供帮助.

技术支持的程度依赖于组织与IDPS厂商的合同条款类型,并结合具体案例予以实施.
不管组织的需求是监视企业定制的或原有的系统,还是以定制的协议或格式报告IDPS结果,技术支持至少宜包括厂商协助调整或调试IDPS以适应特定组织需求.

组织宜规定技术支持的联系方式(如电子邮件、电话、在线聊天、基于web的报告、远程监视或响应服务).
合同条款通常能详细说明这些技术支持服务和响应时间.
与厂商的合同宜为这些服务提供足够的可访问性,以支持事件处理或其他敏感时期的需要.

培训技术本身不足以检测系统入侵.
组织宜需要合格的技术人员评价、选择、安装、操作和维护IDPS.
合格的IDPS人员的要求非常高,在很多情形下,招聘、雇佣、留住满足IDPS职责要求的有经验和知识的人员非常困难.
针对这种情况,许多组织决定将IDPS操作外包给安全管理服务商.
这种选择呈现了组织自身在培训方面的问题和风险.
例如,即使在其多数持续功能外包的情况下,组织也宜向员工培训关于IDPS的问题和操作的重要知识,否则可能失去对IDPS的控制.
为了实现组织对IDPS的最佳应用,负责监督IDPS外包操作的员工宜熟悉IDPS操作和规程.
这种类型的培训通常可从提供IDPS产品的厂商那里得到.
组织宜将这种厂商培训作为IDPS购买成本的一部分.

当IDPS厂商不把提供培训作为IDPS包的一部分时,组织宜做适当的预算培训操作人员.
这种培训宜持续提供,以便允许人员更替和IDPS及其环境的变更.
部署总则根据本标准前面的内容,只可通过下列方式才能成功实现HIDPS或NIDPS部署:基于风险评估的全面的需求分析,包括IDPS安全需求;认真选择IDPS部署策略;识别与组织网络基础设施、策略以及资源级别相一致的解决方案;专业的IDPS维护和操作培训;制定培训和演练规程,以处理和响应IDPS报警,.
根据两种主要IDPS的优点和局限性,组织宜考虑基于网络的IDPS和基于主机的IDPS的结合,以保护整个组织范围内的网络.
分阶段部署组织宜考虑IDPS的分阶段部署.
这种方法能允许员工获取经验并确定需要多少监视和维护资源以支持IDPS操作.
每种IDPS的资源需求变化范围很广,其高度依赖于组织的系统和安全环境.
在分阶段部署中,组织宜从基于网络的IDPS开始.
NIDPS通常是安装和维护最简单的IDPS.
下一步是利用基于主机的IDPS保护关键服务器.
此外,为了实现适当的功能和配置,组织宜使用脆弱性评估工具定期测试IDPS和其他的安全机制.

NIDPS部署总则当NIDPS与HIDPS配合使用时,组织宜确保在可控、主动测试和培训的环境中操作人员已经熟练的使用NIDPS.
在运行网络中全面部署NIDPS之前,宜在不同位置试验NIDPS传感器.
NIDPS传感器通常的位置在下面的图2中详细描述.
在部署网络传感器时,组织宜平衡部署及持续运行的成本与需要的实际保护级别之间的关系.

另外,特别是在高速网络环境中,需观察到IP数据包的丢包程度,因为数据包的丢包率过高会严重增加模式不匹配的数量,从而导致误报甚至漏报的增加.
为确保有效性,可能需要一种可提供较高捕获率的合适网络接口卡或者减少数据丢包率的相似技术作为补救.

为了进行网络监视而部署NIDPS时,特别是使用交换机或TAP的情况下,宜考虑数据捕获方法.
当部署NIDPS时,组织宜使用物理隔离的交换机,而不是VLAN或者核心交换上类似的技术.
通常,交换机只能允许单个交换机端口分析器(SPAN)端口在任何给定的时间起作用.
SPAN端口也增加了交换机的CPU使用率,且在CPU达到使用极限时,SPAN通常用来停止数据复制.

类似的,当这个端口用于网络调试时,IDPS变成非功能性的.
组织宜向NIDPS的功能开放此端口.
为了处理此问题,组织宜考虑网络TAP(测试接入端口),特别是,结合上行和下行流量的汇聚TAP.
这些设备是典型的被动设备,不会在信息包上安装任何负载.
当他们使数据收集界面对网络不可见时,他们也增加安全级别,而交换机仍可保持这个端口的2层信息.
TAP也有多端口的功能,这样可在不损失IDPS能力的条件下调试网络问题.

图2典型NIDPS位置位于Internet防火墙内的NIDPS优点:识别源于外部网络、已经渗入防护边界的攻击;能帮助检测防火墙配置策略上的错误;监视针对DMZ(非军事区)中系统的攻击;能被配置为检测源于组织内部、针对外部目标的攻击.
缺点:由于其接近于外部网络,不能作为强保护;不能监视防火墙阻止(过滤掉)的攻击.
位于Internet防火墙外的NIDPS优点:允许对源于外部网络的攻击的数量和类型进行文件化管理;可以发现未被防火墙阻止(过滤掉)的攻击;可减轻拒绝服务攻击的影响;在与位于外部防火墙内部的IDPS合作的情况下,IDPS配置能评估防火墙的有效性.
缺点:当传感器位于网络安全边界之外时,它受制于攻击本身,因此需要一个加固的隐形设备;在此位置上产生的大量数据,使得分析已收集的IDPS数据非常困难;IDPS传感器和管理平台的交互作用可要求在防火墙中打开额外的突破口,导致外部访问管理控制台的可能性.
位于重要骨干网络上的NIDPS优点:监视大量的网络流量,因此提高了发现攻击的可能性;在IDPS支持一个重要骨干网络的情况下,在拒绝服务攻击对关键子网造成破坏之前,具备了阻止它们的能力;在组织的安全边界内部检测授权用户的未授权活动.
缺点:捕获和存储敏感的或保密性数据的风险;IDPS将会处理大量数据;检测不到不通过骨干网络的攻击;识别不到子网上主机对主机的攻击.
位于关键子网上的NIDPS优点:监视针对关键系统、服务和资源的攻击;允许有限资源聚焦于最大价值的网络资产上.
缺点:子网间相互关联的安全事态问题;如果报警没有在专用网络上传输,IDPS相关的流量可增加关键子网上的网络负载;如果配置不正确,IDPS可捕获和存储敏感信息,并在未指定路径的情况下访问这些信息.
HIDPS部署在HIDPS进行操作部署之前,组织宜确保操作者在受保护但主动的环境中熟悉其特性和能力.
IDPS特别是HIDPS的有效性,依赖于操作人员区分真假报警的能力.
这需要组织的网络拓扑、脆弱性以及与解决虚假报警相关其他细节等知识.
随着时间流逝,在HIDPS监视的环境中,凭借操作经验能够识别正常的或基本类型的活动.
由于不会持续监视HIDPS,组织宜建立检查IDPS输出的时间表.
HIDPS操作的方式宜极大降低攻击者在攻击发生期间损害HIDPS的风险.

HIDPS全面部署宜从关键服务器开始.
一旦HIDPS的操作常规化,其他服务器也可考虑部署HIDPS.
若为每个特定的主机安装和配置IDPS,则在组织内所有主机上安装HIDPS花费昂贵且耗时很长.
因此组织宜首先在关键服务器上安装HIDPS.
这个方法能降低整体部署成本,并允许缺乏经验人员将精力集中在最重要资产产生的报警上.
当这一部分HIDPS操作常规化后,组织可能要重新访问最初的信息安全风险评估结果并考虑安装更多的HIDPS.
组织宜部署具备集中管理和报告功能的HIDPS.
这些特性能极大降低对来自部署在整个组织的HIDPS报警予以管理的复杂度.
在大量部署HIDPS的情况下,组织可能要考虑向信息安全管理服务商外包其HIDPS操作和维护.

防护和保护IDPS信息安全IDPS数据库存储了与组织信息基础设施内的可疑活动和攻击相关的所有数据,是安全敏感的.
因此需对数据进行保护,并建议下列控制:使用校验码确认存储数据的完整性;对存储的IDPS数据进行加密;适当配置数据库,特别是通过使用访问控制机制;包括备份程序在内的适宜数据库维护技术;对运行IDPS数据库的系统进行充分加固以抵抗渗透;连接IDPS到以太网集线器或者交换机的嗅探(只接收)电缆;单独的IDPS管理网络线路的实施.
定期对IDPS和连接系统进行脆弱性评估和渗透测试.
日志也宜存储在独立的日志主机上,而不是在本地系统上.
宜避免未授权修改或删除IDPS日志、配置、攻击特征和IDPS传感器和收集器之间交换的信息.
IDPS日志可能包含敏感或隐私相关信息,宜在存储和传输中加以保护.
负责分析来自IDPS传感器或收集器信息的已授权人员宜保护这些信息.
操作总则在IDPS操作之前,组织宜:建立过程、规程和机制,确保组织脆弱性管理过程涵盖IDPS;准备与GB/T20985相一致的事件管理过程;当IDPS产生报警时,规定宜采取的行动;识别允许自动化和半自动化响应的条件,以及如何能监视这种类型的响应结果以确保执行安全和适当的行动;明确并准备法律方面考虑事项.
IDPS调试IDPS部署后,组织宜确定IDPS报警的特性、以及何时和如何使用IDPS报警特性以确保能日常调整这些特性.
多数IDPS具有可配置报警特性,允许各种报警方式,包括:电子邮件、短信系统、分页和网络管理协议陷阱,以及攻击源的自动阻止.
尽管很多报警特性可供选择,但在组织十分了解IDPS安装,以及清楚IDPS在组织环境内的行为特性之前,组织宜保守使用他们.

如前所述,SIEM技术的运用可能在优先排序和减轻IDPS报警方面具有重大价值,例如,将脆弱性评估数据和系统补丁级别与IDPS报警配置进行比较.
在这种情况下,网络发现工具和流量分析器的使用可进一步提高价值,并允许进一步调整报警规则.

在某些情形中,组织宜延迟启用整套报警特性,直到足够的尝试时间内操作需求和报警可能性达到最佳平衡,最终才能允许定制报警规则和响应能力.
然后,组织能决定哪些特性是不必要的,哪些特性比其他特性更具有帮助,哪些特性最有利于组织.
当报警和响应特性包含对攻击的自动响应时,特别是那些允许IDPS指示防火墙阻止已发现的攻击源流量时,组织宜非常注意以防止攻击者使用此IDPS特性拒绝合法用户的访问,即自身造成的拒绝服务攻击.
最初,这些类型的IDPS特性宜置于半自动模式下,在这种模式下,由人员决定是否宜激活IDPS响应.

IDPS脆弱性若以不安全方式实施IDPS传感器,就像网络上的其他设备一样,它很可能会被攻击.
在攻击者了解其存在的情况下,他们更倾向于尝试并利用IDPS任何已知的脆弱性.
攻击者可能试图使IDPS失去能力,或者强迫它提供错误信息.
另外,许多IDPS存在安全弱点,如发送未加密的日志文件、限制访问控制和缺乏对日志文件的完整性检查.
以一种安全的方式实施IDPS传感器和控制平台是必要的,并宜处理IDPS的潜在弱点.

处理IDPS报警总则通常IDPS产生很多的输出.
为了将比较严重的报警与一些没有价值的报警进行区分,组织宜全面分析IDPS输出.
报警一般包括检测到攻击的简洁摘要,至少宜包括:检测到攻击的时间或日期;检测到攻击的传感器IP地址;厂商特定的攻击名称;标准的攻击名称(如果存在);源和目的IP地址;源和目的端口号;用于攻击的网络协议.
一些IDPS提供了所利用攻击方法的更通用详细信息.
这些信息允许操作者评估攻击的严重程度,并宜包含以下内容:攻击的文本描述;攻击严重级别;由攻击造成的损失类型;攻击利用的脆弱性类型;易受到攻击的软件类型和版本号的列表;相关补丁的列表;可作为公共咨询的参考信息,内含攻击或者脆弱性的详细信息.
信息安全事件响应团队(ISIRT)当收到报警时,组织宜具备适当的信息安全事件响应团队(ISIRT).
ISIRT的策划宜建立处理安全事件(如病毒、系统的内部误用以及其他类型的攻击)的组织规程.
组织规程宜概述发生信息安全事件时要采取的行动,并为人员培训建立时间表,并就在信息事件处理过程中的人员职责进行培训.
安全事件报告和处理的更多信息在GB/T20985中讨论.
外包除了IDPS产品,一些安全服务提供商提供托管的IDPS服务,包括咨询和操作中心管理.
许多组织更喜欢外包其主要的支持职责,包括将安全服务托管给服务提供方,这样他们就不必培训和保留具备专业技能的人员.
选择IDPS产品时,宜认真考虑提供的安全服务托管,以确定是否在经济上可行,以及提供适当程度的支持以保持保密性.
当与提供托管的安全服务解决方案的IDPS厂商有交易往来时,组织宜至少询问厂商:具备什么样的保密性协议;监视IDPS的人员需要具备什么样的资格;监督人员需要具备什么样的资格;服务提供商和组织内部安全人员之间的联络和通讯协议是什么;为补充组织的能力,厂商是否提供紧急响应服务;厂商是否提供取证调查服务;厂商是否提供服务级别协议(SLA);什么报告可供选择,他们是否能根据组织的需求定制;是否能为组织的环境定制检测策略,或者是否必须使用他们预设的默认值;为了执行这些协议,具备什么样的技术措施;服务提供方的人员采取什么样的安全诊断程序.
经过慎重考虑的外包SLA包括下列详细的需求:定期(每日、每周等)报告的内容;响应时间的指标;发生攻击时,组织通报的机制(如电子邮件、呼叫器、短消息系统、多媒体系统、电话等);事件追踪和管理程序;保密性和不公开协议.
优点:同等花费下,相对于组织为自己提供的服务,托管安全服务提供方可提供更高级别的安全;通常花费更少的成本,可更快、更有效的实现7*24h能力;由于许多托管安全服务提供方可访问许多来自不同客户的信息,他们能够更好的处理可疑活动并识别攻击;组织能减少将有效IDPS规程安置在一起所需要的时间,以及重复所有实施细节所需的时间;尽管组织需要了解IDPS能力,但无需对员工提供最新IDPS工具和能力的持续专业培训.
缺点:宜监视和审计外包方,使其符合组织的安全要求、限制和策略;可能向第三方组织暴露敏感信息;如果没有谨慎实施,可能会比内部支持花费更多;能剥夺组织对敏感数据的控制权.
响应选项原则许多IDPS支持范围广泛的响应选项,这些选项可分为主动的或被动的.
主动响应主动响应包括检测到攻击时IDPS自动采取的行动.
提供主动响应的入侵检测系统也称为入侵防御系统(IPS).
主动响应进一步分类如下:收集可疑攻击的附加信息;变更系统环境,以阻止攻击;在报警之后不需要人为的举动,IPS采取预防措施,主动拒绝通信和(或)终止通信会话.
IPS和IDS有很多相似的功能,如包检测、协议确认、攻击特征匹配和状态分析.
然而,每个设备的部署均有不同的目的.
IPS代表了保护能力和入侵检测能力的结合,它首先检测攻击,接着以静态或者动态的方式防范攻击.

IDS是被动的设备,它监视活动并寻找已知的攻击特征或异常情况.
IDS是旁路设备,用来告诉网络上发生了什么样的恶意活动.
因其被动性,IDS几乎没有机会导致网络故障.
另一方面,IPS基于证书和一些事先定义的规则集或策略,允许或拒绝访问资源.
IPS是串行设备,用来监视流量并决定是否丢掉某些数据包、断开包含未授权数据的连接,还是允许流量通过.
换句话说,IPS通过排除恶意网络流量为信息资产提供保护,并继续允许合法活动发生.
IPS的两种主要类型是:基于主机的IPS(HIPS)–直接在工作站或者服务器上运行软件,并能检测和阻止针对本地主机的威胁;基于网络的IPS(NIPS)–结合了标准IDPS、IPS以及防火墙的特性.
流量被传送到检测引擎以确定流量造成威胁的情况.
当检测到恶意流量时,报警产生,恶意流量被丢弃.
正如HIDS,HIPS依赖于直接安装在被保护系统上的软件,并与操作系统和服务紧密捆绑在一起.
这允许系统调用操作系统或被监视和中断的APIs,以阻止并记录攻击.
NIPS结合IDS、IPS以及防火墙的特性.
信息包可能出现在内部接口或外部接口,并被传送到检测引擎,以确定信息包是否造成威胁.
检测到恶意信息包时,会发出报警,信息包被丢弃,信息流被标记为恶意.
这使得该特定TCP会话的剩余包到达IPS设备并立即被丢弃.
功能更加精良的IPS能阻止单独信息包而不是整个会话,他们能动态重设防火墙规则、将流量路由到蜜罐中或这些活动的组合等.

HIPS软件拦截对所保护系统的所有请求.
因此它宜是非常可靠的,不宜影响性和阻止合法流量.
优点:检测和阻止攻击的能力;提供主动防护;由于减少了IDS事态日志的响应要求,提高了操作效率.
缺点:串行工作,因此造成潜在的瓶颈和单点故障;对IDS来说误报带来的影响可能更严重和深远,即可能造成自身拒绝服务攻击;在预期的流量负载之下,对流量没有明显的影响时,宜对每个信息包进行分析;主动响应仅可应用于特征集的子集;把HIPS软件紧密整合到操作系统内核中,未来操作系统的升级可能会引起问题.
被动反应被动响应向操作者或者预定位置提供信息.
它们依赖于IDPS操作者根据所提供的信息采取后续行动.
被动响应有以下形式:报警和通知,通常是屏幕报、弹出窗口和传呼或手机信息;配置SNMP陷阱,以响应中央管理控制台.
法律方面的考虑事项总则系统收集的信息可能包含敏感资料、员工数据或者之后犯罪调查的证据,因而,宜负责任的保存或者处理数据并完全符合适用的法律.
组织宜确保其员工意识到这方面的职责.
本节概述了与IDPS相关的法律方面考虑事项.

隐私权在正常操作期间,IDPS系统能收集个人信息,并能用于监视员工活动.
这可能受制于隐私和适用的法规.
组织宜开发和实施策略以确保任何IDPS的使用与相关隐私权和适用法律相一致.
其他法律和方针的考虑事项IDPS的实施和操作可能受限于其他的法律和法规要求,以及部署IDPS组织的方针要求.
实施和操作IDPS时,宜评审和处理法律、法规和组织方针要求.
法律和法规方面的问题在GB/T20985中进一步讨论.
取证IDPS日志可用于取证.
组织宜理解相关的取证要求,并宜提出适宜的存储和处理IDPS日志的控制以确保这些信息能接受取证审查.
这可能还需要关于IDPS系统和过程的文件化信息以满足取证和证据要求.

(资料性附录)入侵检测和防御系统(IDPS):框架和需考虑的问题入侵检测和防御的介绍尽管信息系统的漏洞可导致意外或有意的利用、入侵和攻击,但由于业务需求,组织仍然会使用信息系统并将其连接到因特网和其他网络上.
因而组织需要保护这些信息系统.
技术不断进步,获取信息的便利性不断提高,但是新的漏洞也会随之出现.
同时,利用这些漏洞的攻击也在不断加强.
入侵者不断提高入侵技术,并且有利于他们的信息也越来越容易获取.
同样重要的是,由于计算机知识的普及、攻击脚本和先进工具的可获取,发动攻击所必需的技术正在减弱.
因此,攻击能够在没有人确切知道将发生什么或者攻击能带来什么危害的情况下发生.

保护信息系统的第一层防御是利用物理、管理和技术控制,宜包括鉴别与认证、物理和逻辑访问控制、审计以及加密机制.
组织可在GB/T22081-2016中找到推荐的控制列表.
然而,从经济方面考虑,始终完整保护每个信息系统、服务和网络是不可能的.
举例来说,对于一个全球使用、没有地理界限,并且其内部和外部差别不明显的网络,很难实施访问控制机制.
此外,传统的边界防御已经不再可行,原因是组织正在越来越多的信赖员工和商业合伙人的远程访问.
IT环境造成了复杂的网络配置,而这些配置是动态的,包含了访问组织IT系统和服务的多路访问点.
因此,为了迅速有效的发现和响应入侵,需要第二层防御.
这一防御层主要由入侵检测和防御系统(IDPS)承担.
除此之外,已部署IDPS的反馈能完善组织信息系统脆弱性的知识,并能帮助提高组织信息安全整体素质.

组织能从市场上获取IDPS软件和(或)硬件产品,或通过向IDPS服务提供商外包IDPS功能等方式部署IDPS.
任何情况下,组织宜知道IDPS不是一个即插即用设备,其有效部署需要组织对IDPS有所理解.
对每个控制,组织需要根据信息安全风险评估证明IDPS部署的有效性,并将IDPS部署融入信息安全管理过程.
另外,需要考虑到,一旦入侵者或攻击者窃听了包含已部署IDPS内的信息并且覆盖它,将使组织遭遇巨大的困难.
这些困难包括如何识别并证明保护措施(如IDPS)需求.
组织及有关系统或服务安全策略宜声明将要选择的保护措施以便适当的管理入侵风险.
这些保护措施包括:一一减少入侵发生的机会;一一有效检测和响应可能发生的入侵.
像每个控制一样,组织需要根据信息安全风险评估证明IDPS部署的有效性,并将其融入信息安全管理过程.
另外,需要考虑到,万一入侵者和攻击者窃听了包含已部署的IDPS内的信息并且覆盖它,将使组织面临巨大的困难.

当组织考虑部署IDPS时,宜了解:一一对信息系统和(或)网络入侵和攻击的类型;一一本标准提及的IDPS的通用模型.
入侵和攻击的类型简介信息系统的入侵者和攻击者能利用信息系统和(或)网络的配置缺陷、实施缺陷和(或)概念缺陷,而且能够利用异常的用户行为.
脆弱性会使入侵者和攻击者访问到被保护的信息系统及其处理或存储的信息,并且损害信息和信息系统的保密性、完整性和可用性.
这些入侵和攻击能给入侵者和攻击者提供信息系统和网络的有价值信息,而这些信息又能被更多复杂的入侵或攻击技术所利用.
组织宜认识到不仅组织外部的人员会试图入侵和攻击,而且内部的人员也可能有这种意图.
例如,组织信息系统的授权用户可试图获得未授权的额外特权.
恶意入侵和攻击可用来:一一信息搜集,攻击者试图通过信息搜集来检索目标信息系统的详细信息;一一试图获得未授权系统特权、资源或者数据;一一损害系统,可允许使用系统资源进一步攻击;一一信息泄露,入侵者试图用非授权手段使用被保护信息(如密码、信用卡数据);一一拒绝服务(DoS)攻击,攻击者试图使目标信息系统服务变得迟缓,或者使其服务中止.
就可能入侵和攻击的脆弱点而言,入侵和攻击可分为:一一基于主机的;一一基于网络的;一一基于组合方法的.
基于主机的入侵基于主机的入侵通常是入侵性的活动,这些活动会引入损害性的恶意代码(例如,利用木马、蠕虫或病毒等的攻击),并发生在下列方面:一一应用层(SMTP、DNS)(如伪造电子邮件、垃圾邮件、缓冲区溢出攻击、竞争状态攻击、中间人攻击);一一鉴别系统(如利用窃听或密码猜测的攻击);一一基于Web服务(如针对CGI、ActiveX或JavaScript的攻击);一一系统可用性(如拒绝服务攻击);一一操作系统;一一网络和应用管理系统(如SNMP攻击).
基于网络的入侵基于网络的入侵通常被认为是在下列位置的入侵活动:一一物理层和数据链路层通信协议以及实施它们的系统(如ARP欺骗、MAC地址克隆);一一网络层和传输层通信协议以及已经实施的系统(IP、ICMP、UDP、TCP)(如IP-欺骗、IP-碎片攻击、同步洪泛攻击、异常TCP报头信息攻击).
入侵检测过程的通用模型简介软件和(或)硬件产品相结合的IDPS通过自动监视、收集和分析信息系统或者网络中的可疑事态,发现入侵的迹象.
入侵检测的通用模型能用一组功能来定义.
这些功能包括:原始数据来源、事态检测、分析、数据存储和响应,这些功能作为独立的部件或者作为更大系统一部分的软件包实施.

图A.
1说明这些功能相互关联的方式.
入侵检测的通用模型数据来源入侵检测过程的成功取决于所检测的入侵企图信息的数据来源.
数据来源可以确定为:一一不同系统资源的审计数据:审计数据记录包含消息和状态信息,范围从高层次的抽象信息到显示事态流时间顺序的极为详细的数据.
审计数据的可用来源是操作系统的日志文件,包括由操作系统产生的系统事态和活动日志,如审计痕迹/日志.
可记录文件系统、网络服务、访问尝试等信息的应用也是原始数据的良好来源;一一操作系统的系统资源分配:系统监视的参数,例如CPU工作量、内存利用率、系统资源短缺情况、输入/输出率、活跃的网络连接数量等,可以帮助检测入侵;一一网络管理日志:网络管理日志提供网络设备的健壮程度、状态和设备状态转换信息;一一网络流量:网络流量提供了诸如源地址和目的地址,以及与安全相关的源和目的端口等参数.
通信协议的不同选项(如IP和TCP状态标记,表示源路由或连接的尝试和确认)对IDPS是有用的.
因为在收集前数据被操纵的可能性很小,因此依据OSI模型在低层次上收集原始数据是很有帮助的.
如果仅在抽象的较高层次(例如一个代理服务器上)收集原始数据,那么更低层次上的信息可能丢失;一一其他的数据来源:其他的数据来源包括防火墙、交换机和路由器,当然也包括IDPS特定的传感器/监视代理.
原始数据来源分为两种:主机和网络.
由于在入侵检测领域里位置的区分占主导地位,IDPS也同样分为两种类型:基于主机和基于网络的.
基于主机的IDPS能检查审计痕迹/日志和其他来自主机或应用的数据.
基于网络的IDPS能检查网络管理目志,以及来自防火墙、交换机、路由器和IDPS传感器代理的数据.
事态检测事态检测的目的是检测和提供安全相关的事态数据,以用于分析功能.
检测的事态可能是简单的事态(包括在正常操作期间攻击或事件的一部分)或者复杂的事态(包括很可能表示特定攻击的简单事态组合).
然而,事态或事态数据可能不能作为入侵的证据.
事态检测功能通过IDPS的监视部件实现.
他们能安装在一个网络设备上(如路由器、网桥、防火墙),或一台特定的计算机上(如应用服务器、数据库服务器),这取决于要检测的事态数据的原始数据来源.

由于事态检测过程产生大量的事态数据,事态检测的频率能影响IDPS整体的有效性.
这种情形也将适用于下面的分析过程.
分析简介分析功能的目的是分析并处理由事态检测功能提供的事态数据,以发现正在尝试的、正在发生的或已经发生的入侵.
除了检测到的事态数据之外,分析功能还能利用许多来源的信息或数据,包括:一一先前分析的结果数据和由数据存储功能保存的数据;一一从个体或系统被期望如何表现的知识中(如从应执行的已知任务和应完成的已授权活动中)产生的信息或数据;一一从个体或系统不被期望如何表现的知识中(如从已知攻击或已知有害行动中)产生的信息或数据;一一其他相关信息或数据,如可疑攻击原站点、个体或攻击者位置.
有两种通用的分析方法:基于误用的和基于异常的.
基于误用的方法也称作基于知识的方法,基于异常的方法也称作基于行为的方法.
基于误用的方法总则基于误用的方法主要研究检测事态数据方面的攻击证据,并以已知攻击和未授权活动的知识积累为基础.
典型的基于误用的方法试图对信息系统的已知攻击以及先前被认为是恶意的或入侵性的行为和活动,进行建模和编码为特定的攻击特征,包括系统地扫描信息系统以发现这些攻击特征.
由于已知攻击模式或已知攻击的微小变化叫做特征,因此误用检测有时叫做基于特征的IDPS.

在商业产品中,最常见的基于特征的攻击检测技术指定了每个与攻击或未授权活动相一致的事态模式,作为一个独立的攻击特征.
然而,一些更复杂的机制允许使用单一的攻击特征来检测一组已知攻击和未授权活动.

需要注意的是,基于误用的方法基于这样的假设,即事态数据与攻击特征不匹配时,不代表有入侵或攻击,但是一些不匹配的数据仍然可能包含入侵或攻击的证据,这些证据在攻击特征建模时是未知的.
目前,基于误用的分析功能广泛使用的方法有:攻击特征分析这种方法可能是入侵检测最常见的方法,它期望信息系统中任何安全相关的行为都能产生相应的审计日志条目.
入侵场景可被转变为审计日志序列或者数据模式,这些信息能在计算机操作系统、应用、防火墙、交换机和路由器,或特定IDPS传感器或监视器产生的数据中发现.
其他的序列或攻击特征可能在网络传输流中发现.
协议分析是网络特定攻击特征分析的一种形式,它使用定义良好的通信协议结构.
协议分析能处理如包、帧和连接等元素.

通过分析程序,收集已知攻击的语义描述或者攻击特征或者对其统一格式,并将其保存在数据库中.
当在诸如审计日志中发现与预定义的入侵攻击特征相匹配的特定序列或攻击特征时,就表示有了一个入侵企图.

攻击特征分析方法能用于有阈值或没有阈值的情况.
如果未定义阈值,当识别出一个攻击特征时即产生报警.
当定义阈值时,仅会在攻击特征数量超过阈值时才产生报警.
阈值可以是单位时间内发生事件的比例、数量或者是其它的测量指标.

攻击特征分析方法主要的缺点是需要不断地更新攻击特征,以便发现新的脆弱性和(或)攻击.
专家系统如果是基于误用的方法,专家系统包含描述入侵的规则.
如果是基于异常的方法,则生成一系列规则,用于在给定时间内,根据用户行为记录,统计用户的使用行为.
规则宜不断的更新以适应新的入侵描述或新的使用模式.
经过审计的事态被转化为表达其语义的事实,输入专家系统中.
入侵分析功能利用这些规则和事实得出结论,以检测可疑入侵或检测不一致的行为.
状态转换分析该技术描述了带有一系列目标和转换的入侵,并把它们表示成状态转换图.
攻击特征中的状态与系统状态相一致,并具备与这些状态相关的布尔声明,这些声明宜满足到其他状态的转换.
基于异常的方法总则根据以往对正常运行系统的观察或参数的其他使用预期定义的配置文件的观察,基于异常的方法聚焦于从对通常行为的预测或猜想中,发现不合常规的行为.
配置文件是一个预定义的特定事态模式,通常与一系列的事态相关,为了达到对比的目的而存储在数据库中.

需要注意的是,基于异常的方法基于这样的假设,即事态数据与攻击特征不匹配时,代表有入侵或攻击,但是一些不匹配的数据仍然可能包含正常的证据或已授权行为,这些证据在攻击特征建模时是未知的.

目前,基于异常的分析功能广泛使用的方法有:识别异常行为此方法与用户的适当活动模式相匹配,而攻击特征分析与不当的活动相匹配.
此方法通过一系列的任务对用户正常或已授权的行为进行建模,这些任务由用户通过使用非统计技术必须或被授权在系统上执行.
这些任务描述为用户所期望或授权的行为模式,例如有权访问特定文件或文件类型.

在审计痕迹中发现的个体行为与预期或授权的模式相比较,当行为模式与预期或授权模式不同时,产生报警.
专家系统(参见A.
3.
4.
2.
3).
统计方法在基于异常的入侵检测方法中,最常用的是统计方法.
通过许多不同的样本来测量用户或系统行为,并将其存储在配置文件中.
当前配置文件定期与已存储的配置文件合并,并随着用户行为的演变进行更新.
这些变化的例子包括每次会话的登录和退出时间、资源利用的持续时间,以及在会话和给定的时间内消耗的处理器存储磁盘资源的数量.
配置文件可以由不同类型的度量组成,这些类型包括:一一活动强度测量;一一审计记录分发测量;一一分类测量(如登录的相对频率);一一计数测量(如特定用户的CPU或I/O的一组值).
异常行为是通过对存储的配置文件进行检查来确定的,即根据变量的标准偏差来确定阈值是否被超过.
神经网络神经网络是一种算法,用来学习输入输出向量的关系并以合理的方式发现普遍规则以获得新的输入-输出向量.
对入侵检测来说,神经网络的主要用途是学习系统内角色的行为(如用户、后台程序).
在统计中使用神经网络的优势在于神经网络具备表示变量之间非线性关系的简单方法,还在于神经网络的自学习和再训练.
组合方法基于误用和基于异常的方法能组合起来,以便利用彼此的优点.
混合方式的IDPS部署允许基于已知攻击特征和未经确认的模式(如特定用户登录尝试的次数)来检测入侵.
此外还有探索其他检测入侵的方式或方法的研究正在进行.
例如,Petri网的应用研究,以及相对较新的计算机免疫学的研究.
分析频率总则原始数据(如审计痕迹或日志)通常是不断产生的,但是他们可能无法总是由事态检测功能处理或由事态分析功能分析.
分析的频率可能是:一一连续的;一一周期性的;一一特定的环境中.
连续的或接近实时的当事态检测功能不断查找出现的特定数据、情况或活动并提供事态数据时,分析功能仍然能持续进行.
宜注意到,某些情况下在被检测和报告之前,入侵可能已经完成,因为事态发生时间和检测并报告它的时间之间可能存在时间间隔.
时间间隔能够由参数决定,如事态数据来源、检测方法或入侵属性,这导致了入侵开始和侵入目标系统之间的时间差.

定期或批量处理如果原始数据和(或)检测到的事态数据转移到存储介质,则周期性的或在适当时间检测和(或)分析这些数据将成为可能.
例如,可在IT系统负荷较低时进行检测和分析,如在晚上或通过一个辅助的旁路子系统.

仅在特定环境下发起一些分析可能仅在特定的环境下发起,如当已经识别到一个大范围的攻击,且正在引起严重破坏的时候.
在这种情况下,可采取集中力量的方式对攻击所有方面和产生的后果进行全面分析.
这些方式有时叫做取证分析,可用于法律诉讼的目的.
如果有预期的法律诉讼,需要遵循适用的证据规则.

数据存储数据存储功能的目的是存储安全相关信息,并使之可用于稍后的分析和(或)报告中.
存储的数据可包括:――已检测到的事态和其他类型的必要数据;――分析的结果,包括已检测到的入侵和可疑事态(以后用来协调可疑事态分析);――收集已知攻击和正常行为的配置文件;——一旦安全报警响起,收集和保存作为证据的详细原始数据(如为了可追溯性).
宜具备适当的数据保留和数据保护策略,处理各种关注的事项,如完成分析、数据取证和证据保存、以及防止安全相关的信息被窃听.
响应响应功能的目的是将合适的分析结果呈现给责任人员(如系统管理员、安全负责人).
通常,这些结果在管理控制台上以图形用户界面形式呈现,通过邮件、短信、电话等其他方法将结果告知相关人员也是必要的,以提升和组织对发出报警的响应.

被动响应功能仅限于当控制台产生报警时,而主动响应功能还能为入侵提供适当的对策.
具有主动响应功能的入侵检测系统也称为入侵防御系统(IPS).
一些主动响应功能能通过以下方式,提供纠正或预防措施来限制入侵或将影响降到最小:――重新配置入侵的系统;――锁定入侵的账户;――封锁会话协议.
响应功能提供的信息能帮助组织合理的授权以评估入侵的严重程度,并决定实施恰当的对策.
组织需要确保,评估入侵的严重程度和所要实施的对策要与组织的信息安全策略和程序相一致.
在GB/T22081-2016第13章中,组织能找到推荐的控制列表,其中包括信息安全事态的报告、从安全漏洞中恢复和纠正系统故障的职责和程序.
GB/T20985中也提供关于信息安全事件管理的有用信息.
IDPS类型简介如前所述,有三种类型的IDPS:基于特征的IDPS、基于异常的IDPS、状态协议分析IDPS.
大多数IDPS使用多种检测方法(无论是单独的或集成的),以提供更广泛和更准确的检测.
检测方法的主要类别如下:基于特征的检测是指将观察到的事态与已知的威胁特征相比较来识别事件.
这对检测已知的威胁非常有效,但对检测未知威胁和已知威胁的许多变种基本无效.
基于特征的检测不能跟踪和了解复杂通信的状态,所以它不能检测出包括多个事态的大部分攻击.

基于异常的检测,它将正常活动的定义与观察到的事态进行比较,以识别显著的偏差.
该方法使用一段时间内监视典型活动特征而形成的配置文件.
然后,IDPS将当前活动的特征和与配置文件相关的阈值进行比较.
基于异常的检测方法能非常有效地检测以前未知的威胁.
基于异常检测的常见问题是配置文件无意中包含的恶意活动,建立的配置文件不够复杂不足以反映真实世界的计算活动,并产生许多误报.

状态协议分析,是指预设配置文件(该配置文件为每个协议状态的良性协议活动进行普遍接受的定义)与观察到的事态进行比较以识别偏差.
与基于异常的检测(使用主机或特定网络配置文件)不同,状态协议分析取决于供应商开发的通用配置文件,该配置文件规定了特定的协议宜如何使用和不宜如何使用.
它能够理解和跟踪具有状态概念的协议状态,这使它能检测到许多其他方法不能检测到的攻击.
状态协议分析的问题包括开发完全准确的协议模型通常非常困难或不可能、非常耗资源,以及无法检测到未违反普遍接受协议行为特征的攻击.

IDPS的其他类型包括:――基于应用的IDPS(AIDPS),它是HIDPS的特殊类型并且具有与HIDPS相似的特性.
大体上来说IDPS能够实现下列功能:――监视和分析系统事态和用户行为;――识别与已知攻击相应的系统事态模式;――识别在统计上与正常活动不同的活动模式;――检测到攻击时,通过合理的方式提醒适当的员工;――测量在分析引擎中编码安全策略的执行情况;――允许非安全专家执行重要的安全监视功能;――增加发现感知风险和惩罚攻击者的能力;――识别许多其他安全设备无法预防的问题;――协调其它安全设备(如防火墙)以处理事态;――验证、列举并描述对组织信息系统的网络威胁;――提供有关入侵的宝贵信息,这些信息支持事件处理、损害评估、恢复工作和特定环境中的法律活动.
宜了解IDPS的局限性,主要局限性包括:――无法检测新的攻击,也不能捕捉多数攻击的新变体;――难以弥补信息源的错误和噪音;――难以有效的处理交换网络;――难以扩展为非常大的或分布式网络;――难以根据IDPS输出确定入侵者的物理和(或)虚拟位置;――难以用网络管理系统来整合不同的IDPS产品;――无法弥补安全策略和(或)安全机制(如防火墙、身份证明和鉴别、链路加密、访问控制机制和病毒的检测与清除)在基础设施保护中的缺陷或缺失;――无法检测、报告或快速响应特定攻击类型;――尽管有能力识别DoS攻击,但无法减缓大多数DoS攻击;――无法检测新的攻击或已有攻击的变体(这仅适用于基于特征的IDPS,不适用于基于异常的IDPS);――在无人干涉的情况下,无法对攻击进行详细分析;――无法弥补组织内安全战略、策略或安全架构的重大缺陷;――无法弥补网络协议的安全缺陷;――通常,IDPS输出可能包含显著的错误率,尤其是误报,需要花费大量的时间和资源来解决;――可能作为攻击序列的一部分而被禁用;――可能被攻击者利用来产生误报,以分散对主要攻击的注意力;――可能产生大量的审计信息,这些信息可能要占用系统额外的本地存储;――基于IDPS报警的自动拦截可能引起安全性和可用性问题;――需要先进的技术和系统知识,才能有效地使用IDPS.
基于主机的IDPS(HIDPS)HIDPS存在于一台计算机内并且为这台特定计算机提供保护.
这允许HIDPS检查计算机操作系统日志数据(如审计痕迹/日志)和其他本地数据.
HIDPS也可利用操作系统或者应用日志文件分析发生在应用内的事态.

HIDPS使用的操作系统审计痕迹通常是由操作系统内核(核心)产生的,因此比系统日志更详细并且保护的更好.
然而,这些系统日志比审计痕迹简短并易于理解.
一些HIDPS旨在支持IDPS集中管理和基础设施的报告,这能允许单一的管理控制台追踪多个主机.
另一些HIDPS以与网络管理系统相兼容的格式生成消息.
与NIDPS不同,HIDPS能觉察企图攻击的结果,因为它能直接访问和监视攻击通常针对的数据文件和系统进程.
例如,HIDPS允许检测来自关键任务服务器键盘的攻击.
HIDPS旨在用来:――将特定用户身份与可疑活动相关联;――观察并追踪用户行为的变化;――建立系统安全状态的基线,并跟踪基线的变化;――管理操作系统审计、日志机制和生成的数据;――当数据以加密或者非加密形式传输和存储时,提供应用层的日志记录和监视;――观察攻击引起的数据修改;――监视存在于高速网络和加密网络中的系统;――检测基于网络的IDPS无法发现的攻击.
宜了解HIDPS特有的局限性.
主要局限性包括:――特定的DoS攻击可能使HIDPS失去效力;――HIDPS可能消耗主机资源,包括主机审计日志所需的数据存储;――由于存在大量的安装实例(至少每台主机一个),可能需要复杂的安装和维护过程;――无法在隐身模式使用,因为主机通常可通过更高的网络层寻址;――无法识别针对其他主机或网络的攻击.
基于网络的IDPS(NIDPS)NIDPS监视通向网络中的主机系统的流量.
通常,NIDPS由一系列单用途传感器或位于网络中不同点的主机组成.
这些单元通过对该流量进行本地分析并向中央管理控制台报告攻击来监视网络流量.
由于传感器可特别用作IDPS的部件,因此它们更容易被保护以抵御攻击.
许多这样的传感器对较高的网络层是不可见的(即被设计为在"隐身"模式下运行),以使攻击者更难以确定其存在和位置.
.

通过提供可疑入侵(如DoS攻击)发生时的信息,NIDPS允许实时或近实时的检测和响应,而HIDPS的响应时间与轮询间隔频率直接相关.
NIDPS具有独特功能特性,其能力如下:――以"隐身模式"操作并将传感器对更高级别的网络协议(通常3层及以上)隐藏;――使用单一的传感器监视同一网络段上多个主机的流量;――识别影响许多主机的分布式攻击.
宜了解NIDPS特有的局限性.
主要局限性包括:――无法处理好加密的网络流量;――可能需要比HIDPS更大的带宽和更快的处理能力,因为NIDPS的性能容量宜等同于部署性能最大化的网络段的流量;――NIDPS提供的许多功能可能需要特殊的技术设置才能在现代基于交换机的网络中可用(如网络传感器,它需要连接到映射所有其他端口数据的网络交换机的特定端口);――由于解码应用层协议(如HTTP、SMTP)的有关问题,一些NIDPS可能在处理网络层(IP)或传输层(TCP/UDP)分段数据包攻击时遇到困难;――通常无法观察攻击是否成功.
架构IDPS可通过不同方式实现.
在较小的组织中,或为了保护良好定义和相对独立的系统,单IDPS可能是一个好的解决方法.
在具有相当大且复杂的支持网络、系统和应用程序的基础设施环境中,单IDPS可能不足以或不能够满足入侵检测的要求.
为了满足这些要求,可能需要多个IDPS,每个IDPS都是为已定义的子系统或部件定制的.
在这种环境下,攻击可针对多个子系统或部件.
在另一情况下,攻击可针对子系统或部件的具体配置,而不是子系统或部件本身的脆弱性.
为了在这种情况下检测攻击,需要关联和分析来自不同IDPS的事态数据.

IDPS架构的目标是以高效和有效的方式实现入侵检测的功能.
在这种背景下,有关架构的两个关键考虑事项是:――多个IDPS相互连接和关联的方式;――IDPS架构中任务的集中或分发.
分层入侵检测架构的示例如图A.
2所示.
分层入侵检测架构在图A.
2中,多个分析和关联部件的输出被进一步汇总,以获得更高层级的分析和关联.
在任何多层应用程序基础设施中,可能有多个位置要运行要求的功能.
在集中式架构中,事态检测和传感器部件可简单收集原始数据并将其发送到单个组件以进一步分析和关联.
虽然这种方法设计简单,但它可能无法很好地扩展,并且可能只适用于较小的环境.
更多可扩展的解决方案可在分散部件中执行某些IDPS任务,目的是在这一过程中尽可能早的减少原始数据,并发送相关事态到下一层部件.
部件链可进一步分析和关联事态数据,仅将相关事态或报警传递到最终的即核心部件.
这种系统可能产生一些非常复杂的任务.
例如,这要求通过攻击指示找到中心部件并发出正确报警的方式,来配置过滤器以及相关的分析和关联部件.

IDPS的管理简介在企业网络基础设施中,入侵检测和防御系统的管理对其高效和有效的部署至关重要.
为了使IDPS更高效,管理子系统宜提供足够的功能.
本部分讨论IDPS管理的各个方面.
配置管理总则配置管理提供了一些功能,用以控制、识别实体(这些实体是IDPS的一部分),从中收集并向其提供数据.
为了达到入侵检测的目的,配置管理包括检测功能和相应响应机制的管理.
检测功能检测功能的配置包括为违反安全策略的事态和事态序列而设置标准.
这也可能包括描述误用模式和正常用户行为.
响应功能响应功能的管理决定了安全报警时的系统行为.
这包括控制各种响应机制,如声音报警、管理员和(或)安全人员的通知以及会话终止.
IDPS也宜被保护,以防止未经授权的响应初始化.
如果攻击者发现一种方式来欺骗系统对不存在的入侵进行响应,有可能比没有安装IDPS造成更大损坏,这取决于配置响应.
响应管理宜与组织的事件管理方案相一致.

安全服务管理安全服务管理包含作为IDPS一部分的安全服务的管理.
它包含控制用户证书、保密性、完整性和访问控制服务.
根据用户的证书,访问权限可能受限,以限制对配置参数、审计跟踪以及与安全事态相关信息的访问.

与其他管理系统的集成IDPS管理系统宜与受保护环境下的网络管理、系统管理和(或)安全管理系统有安全的接口,或成为这些管理系统中不可或缺的一部分.
这对实现某种类型的检测功能(如访问日志)和某种类型的响应功能可能是必要的.
重要的是不能单独选择或实现IDPS,因为IDPS管理功能宜与其他系统管理功能相结合.

管理操作的安全总则宜保护管理操作的安全,以防止入侵者访问IDPS中信息或控制IDPS的资源.
IDPS管理的安全包括管理服务的鉴别、完整性、保密性和可用性.
运行IDPS管理特权的系统宜根据所要求的高安全级别安全策略(与其他管理系统所要求的安全策略相比较)进行配置.
基于主机IDPS的传感器通常以操作系统特权模式运行,故而损害管理特权可能导致极为广泛的安全漏洞并可能损害运行IDPS代理的所有主机.
IDPS,特别是基于主机的IDPS,管理特权安全漏洞的后果往往被忽略,而大多数商业产品对监视主机具有可执行指令的攻击响应选项.

监测事态检测器和传感器以确保正确的操作和功能对于成功的IDPS至关重要.
事态检测器将来自传感器的信息传递到检测分析功能.
未能保持这些设备的持续监视功能可能导致错误的安全感应,如传感器失效而中央系统(进而整个组织)未意识到这个技术故障.
因此,中央系统将不会向仍认为一切良好的中央管理员发送报警或读数.

鉴别在进行管理操作之前,宜对管理实体进行适当的识别和鉴别.
管理实体可能是用户或系统实体.
完整性宜保护管理操作以避免完整性攻击.
不宜以未授权方式插入、删除或更改管理操作.
保密性宜保护管理操作以避免保密性攻击.
不宜以未未授权方式推测任何管理操作的意图.
可用性针对网络基础设施、IDPS自身或监视目标的攻击不宜影响管理服务的可用性.
例如在拒绝服务攻击发生时,IDPS的管理宜可行.
即使IDPS发生故障,也宜可能对IDPS管理.
IDPS及其管理宜纳入业务连续性规划过程.

管理模型控制和管理对于成功实现入侵检测是必要的,特别是在使用大量入侵检测部件的分布式环境中.
图A.
3提供了一个实现分层管理模型的示例,该模型极适用于大型组织.
在某些情况下,集中控制意味着单点失效,在一些环境中可能不会接受这种情况.
它也会给攻击者一个单一的攻击点.
这可能给了攻击者延迟攻击检测的机会,并阻止管理员采取适当的行动.

入侵检测管理模型在分层模型中除了使用一对多集合,可能还使用其它合适的管理关系集合:――多对多:多个管理控制台能管理多个分布式代理;――一对多:一个管理控制台能管理多个分布式代理;――一对一:一个管理控制台能管理一个代理.
实施和部署问题简介当决定需部署IDPS时,有很多重要的问题和考虑事项.
所有的IDPS并不完全相同,因此,企业在对部署IDPS进行评价时,宜依据其IT风险管理和安全策略来考虑企业的要求.
效率在对部署IDPS进行评价时,一个重要的考虑事项就是效率.
评价IDPS效率的相关标准有:――准确性:当IDPS把活动误认为攻击(如误报)或者IDPS把攻击误认为合法的活动(如漏报)时,就会出现误差.
任何一种类型失败的数量与检测事态总数的比率都会明显地影响IDPS的可用性.
误报与漏报的比率可能是一个重要的安全策略参数,并且可以指示分析执行情况的偏差.

――性能:IDPS的性能在于收集、存储和处理审计事态的速度.
如果IDPS性能较差就不可能进行实时检测.
性能的另一方面是IDPS可能产生的网络负载.
――全面性:当IDPS无法检测到攻击时,就会出现不全面性.
这项措施与其它评价指标相比更加难以评估,因为全面地认识攻击或特权滥用是不可能的.
――容错性:IDPS自身宜能抵抗攻击,尤其是拒绝服务攻击,并且宜根据这种目标进行设计.
这尤其重要,因为大多数IDPS运行在商用操作系统或硬件的顶层,众所周知这里易受到攻击.
――及时性:IDPS必须尽快执行并传送它的分析报告,以使安全负责人能在大量破坏造成前做出反应,同样也要阻止攻击者破坏数据、数据源或IDPS本身.
功能性部署IDPS时,另一个重要的考虑事项是前面章节讨论过的功能性.
下面将讨论一些功能性方面的内容:――在加密或交换环境中使用,基于主机的IDPS能很好的适应加密和交换环境.
由于基于主机的系统部署在企业的各种主机上,它们可以克服在交换和加密环境中部署基于网络的IDPS所面临的挑战.

――检测攻击,基于网络的数据源允许在攻击发生时通过提供数据检测恶意和可疑的攻击(如拒绝服务攻击)来实时检测和响应,并且也提供更快速的通知和响应.
基于网络的IDPS能够检测到基于主机的系统遗漏的攻击.
许多基于IP的拒绝服务和分段包攻击在网络中传输时仅能够通过查找包头才能识别它们.

――综合分析基于主机和基于网络的数据,一些IDPS利用主机和网络二者的数据源,从而集成了主机和网络的部件.
正如6.
1中的讨论,基于网络的和基于主机的IDPS解决方法具有各自独特的优势和长处,可以相互补充.
因此,基于主机的和基于网络的入侵检测技术能够综合分析,以创建更强大的防御信息系统.

IDPS部署和操作人员组织选择的IDPS可能是最先进的,并且IDPS子系统之间以及与组织的IT系统、服务和(或)网络都可以很好地集成.
然而,大部分的功能宜由人员手动操作,这些人员接受过培训,并且了解入侵检测、IT安全(包括网络安全)以及组织的IT(包括网络拓扑结构和配置).

入侵检测过程包括安装IDPS和拥有具备以下能力的人力资源:――自定义IDPS以便能够发现与已部署IDPS的IT环境相关的事态;――当报警消失时,解释IDPS要表达什么;――为响应看起来真实的IDPS报警,制定策略和程序;――纠正导致入侵成功的脆弱性.
这些人力密集型的操作超出了IDPS安装的范围,且宜成为入侵检测过程不可缺少的一部分.
分析功能分析由传感器收集的数据,以发现未授权或者可疑活动或事态的迹象,这些迹象可能表明正在探测/扫描网络、入侵已经发生或恶意攻击正在进行中.
如果没有人工输入、配置、解释输出和调整IDPS的支持,自动化部分就不能够运行.

当IDPS被恰当的配置时,它提供宜被仔细分析的信息,从而了解网络中发生的入侵行为.
IDPS要求密集的人员交互,而不是束手静待网络拒收那些不想要的数据包.
IDPS要求技术熟练的人员能了解IDPS输出何时被认为仅仅是误报(合法的活动被作为入侵)或漏报(入侵活动发生,却被识别为非入侵).

响应功能包括自动化工具和手动操作.
例如,当前多数的IDPS根据预定义的报警严重性标准来对报警分类,却极少指出报警发生时宜做些什么.
由于现今的大多数IDPS产生大量误报,并且在大多数情况下第一级别的响应会涉及到相当缺乏经验的操作人员,从而导致这种状况进一步加剧.
即使组织有幸拥有兼备知识和经验的操作人员,他们也不可能知道如何恰当地响应每一种检测到的入侵.
另一方面,在事态迅速扩展的紧张时期,对IDPS报警快速反应是非常重要的.
由于上述和其它原因,为操作人员提供经周密考虑、能概述对特定类型IDPS报警宜采取应对步骤的指南极为重要.
如果这些指南不可用,那么对IDPS报警的响应可能不充分、组织混乱或过度反应.
完全依赖自动响应机制是不明智的.

通过匹配已知漏洞的有效载荷模式或者通过恶意字节码特征,IDPS可能会检测到零日漏洞,在这种非常规状况下,人员宜与适当的供应商进行协调,让其知道一个未知的新漏洞已被发现且该漏洞正在攻击组织的网络.

其他实施考虑当考虑实施、操作、集成和选择IDPS时,还有其他的重要特性如下所示:――用户接口;――网络传感器的布局,网络传感器能被灵活放置以支持一系列的检测和响应策略,如检测攻击企图的外部防火墙;――系统故障容错,系统完整性是最重要的关注点,拒绝服务是攻击的一个例子.
如可能,IDPS传感器、监视器和管理者之间的通信宜在被监视网络之外的独立网络中进行.
这将会提高安全性和可用性;――IDPS的保证;――易用性,如方便使用;――IDPS的可测量性;――与其他安全产品的互通性;――供应商支持的级别和质量;――管理,IDPS不是即插即用设备,通常要求技术人员分析和解释IDPS输出;――硬件和软件需求;――文档;――成本,除软件、硬件和安装成本之外,还有教育、培训、操作和维护的成本.
入侵检测问题入侵检测和隐私隐私已经成为使用IDPS的问题.
当查找隐含恶意和可疑内容的攻击特征或特定模式时,识别或检测入侵要求的网络传输分析和(或)操作系统审计痕迹.
收集的网络流量或事态数据可包含一些个人数据,即与特定人员有关的数据.
硬件或IP地址可能是以上数据的一个示例.
因此,入侵检测可能成为监视使用者和他们行为的工具.
若入侵检测被用于检测"内部"入侵者即组织中的员工,宜考虑其影响.

如果使用入侵检测,宜考虑反映隐私挑战的三个原则:――入侵检测必须符合数据或系统保护的目的;――数据收集(网络包、审计日志)必须充分满足保护的目的;――宜开发和应用策略,该策略涵盖对IDPS收集的个人信息隐私进行保护的要求.
第一个方面意味着入侵检测不需要用作监督员工行为的工具.
第二个方面指出宜仅收集和分析对识别攻击必要的数据.
将事态数据与IDPS的攻击特征比较后,宜删除不再需要的数据或未显示攻击迹象的数据,显示攻击迹象的相关数据宜通过安全的方式存储.
然而,在有些情况下删除数据可能是不恰当的,事态数据可能需要存档以便后续进行检查,如为了追溯攻击者或为了日后进行取证分析.
一些数据起初看起来可能是良性的.
进一步分析后,它可能被证明与攻击相关.
后来收集的相关数据也可能被证明与攻击相关.
在任何情况下,宜加强保护数据以避免多种目的的访问,包括隐私.
所采取的行动宜与组织的安全策略一致.

数据宜按照策略存储一段时间,然后安全销毁以保护所有相关方的隐私.
这段时间给了取证和法律强制执行大量的时间进行调查,并且在将来可能遭受未授权访问的系统中,不会留下不再需要的敏感数据.
第三个方面意味着需要依据组织的全局隐私策略和(或)任何适用于敏感个人信息的法律,保护和管理个人信息隐私.
目前,很少有专门的与入侵检测相关的法律和规章要求.
期望法律或规章为个人提供适当的隐私保护,同时允许IDPS和相关事态日志收集和使用足够的数据来识别潜在的破坏性入侵.
一些国家的规章已经包含足够的标准,以及使用个人数据的相关用途.
一些国家有关于保护工作人员个人数据的规章,以及工作人员参与其个人数据隐私权利的规章.
另外,不同的国家关于跨境数据流的规章和条约可能影响入侵检测和隐私.

如果法律和规章要求监视人员的活动,如通过事态日志和特定IDPS传感器/监视器代理,那么宜明确通知员工和承包商,并且在操作开始之前得到确认.
这可通过签订雇佣合同条款、特定文件或电子通知的形式实现.

入侵数据的共享共享入侵数据和IDPS使用经验对所有正积极使用IDPS的组织都是有益的.
例如,通过对许多其他组织的类似入侵进行分析,使得一些组织对入侵的早期预警是可能的,或一种新型入侵的信息将对其他许多组织非常有用.
使用IDPS的经验信息可能帮助其它组织来改善他们的IDPS操作.

然而,人们认识到,大多数组织就已影响其IT系统进而影响其业务操作的入侵公共知识予以普及达成共识.
这些公共知识小到可能引起误解,大到影响商业,如盈利、股价.
基于这点,对组织来说,最恰当的做法是参与合作方案,从而净化入侵的信息来源和IDPS的使用信息,使其匿名.
这些方案是建立在收集匿名知识和用于服务IDPS社区数据库信息的基础之上.
这种入侵检测数据库宜用来:――协调脆弱性配置、入侵类型和利用这些配置的指令的详细信息;――处理大量关于某个入侵样本的信息,以便在先决条件、影响、踪迹、困难、补救措施等方面对入侵类型做出正确的声明;――如果两种类型的观察踪迹明显不同,则存储有关入侵类型的技术数据,并共享二者之间的主要差异;――确保踪迹信息是支持下载新的入侵描述的结构化格式;――当发现新的脆弱性时,更新规则和(或)变更参数;――能够提取自动生成可识别新入侵的新规则(如签名、参数等).
IDPS数据库可被比作现代病毒检测系统,后者通常具有基于网络的自动更新功能.
入侵数据库并不是入侵事件数据库,后者存储有关攻击案例证据.
在GB/T32920-2016中详细列出了共享事件信息的考虑事项.
数据模型、格式和安全交换协议已经在IETF中开发和标准化,以促进入侵数据的自动交换.
国际自动化标准包括RFC5070事件对象描述交换格式(IODEF)、RFC6545实时网络防御(RID)和RFC6546实时网络防御的传输.