Come valutare sistemi di rilevamento delle intrusioni

Un sistema di rilevamento delle intrusioni è un sistema utilizzato per rilevare e avvisare l' utente di sistema di tutti i tentativi di violazione della sicurezza di quel sistema . Questi sistemi sono progettati per monitorare il traffico di rete e di allertare il sistema , quando un tale compromesso tentato succede. Sistemi di rilevamento delle intrusioni di monitorare anche la funzionalità del sistema e avvisare l'utente , se non vi è un comportamento anomalo del sistema che possono indicare una intrusione si è effettivamente verificato . Tali sistemi di rilevamento variano sia nella loro progettazione e la portata a seconda delle esigenze di protezione ei requisiti di sistema . Valutare le loro capacità , guardare le vostre esigenze , e selezionare il sistema di rilevazione che meglio funziona per voi. Istruzioni
1

Valutare innanzitutto la tecnologia di prevenzione del sistema di rilevamento delle intrusioni . Guarda per funzionalità avanzate falso positivo , in modo che non si è costantemente bombardati con falsi allarmi antintrusione . Assicurarsi che l'utente può impostare tassi di rischio , e il generatore di eventi è regolabile dall'utente.
2

Negozio per un sistema che può essere flessibile a come e quando è usato o distribuito . Acquista il sistema che può essere distribuito attraverso reti installate diversificata e già in atto . Controllare il telaio del sistema della lista di caratteristiche per confermare la funzionalità di distribuzione .
3

Confronta velocità di prestazioni passive. Cercate almeno 500 MB al secondo o superiore. Il tasso di connessioni TCP dovrebbe essere di circa 6.000 al secondo, e le transazioni HTTP dovrebbe avere la stessa velocità . Ottenere una gamma di circa 60.000 connessioni simultanee al secondo.
4

Prendete nota e confrontare la velocità effettiva in linea del sistema . Si consideri un tasso di circa 500 MB al secondo, sufficienti con circa 5.000 nuove connessioni TCP al secondo, e un tasso di HTTP simile . Cercare una gamma di circa 50.000 connessioni simultanee con circa 500.000 concomitante capacità di supportare le connessioni per i tempi di utilizzo delle transazioni pesante .
5

Valutare multi- gigabyte scalabilità del sistema. Assicurarsi che il sistema non ha alcuna restrizione di slot e può gestire più moduli per chassis . Ottenere un sistema in grado di scalare fino a otto moduli per chassis con una buona velocità , diciamo circa 4 GB per secondo di protezione da intrusioni inline .
6

rivedere il sistema elenco delle caratteristiche delle intrusioni per confermare che il sistema ha una forte capacità di monitoraggio e di gestione . Cercare il visualizzatore eventi che fornisce la visualizzazione di un massimo di cinque sensori .
7

Confronta tecniche di cattura dei due sistemi . Acquistare un sistema con più tecniche come SPAN /RSPAN , controllo accessi VLAN con rifuggono . Evitando è una funzione potente , utilizzata manualmente , che permette il blocco del traffico che viola un certo /set firma. È inoltre necessario essere in grado di vedere i vari segmenti della rete , il traffico attraverso quei segmenti , di un tempo sufficiente per contrastare le minacce invasore.