一、网络监控与现有网络安全产品
对于网络安全产品人们最熟悉的就是防火墙、入侵检测系统和审计系统,正在介绍的网络安全监控是对于以上三种产品的有效的补充。
防火墙是实现网络的访问控制的设备,其主要作用就是隔离内外网段或几个逻辑子网以实现保证内部网络的安全或是保证多个逻辑子网的安全。而当出现一些符合访问控制条件的非法操作的时候防火墙就无能为力了,例如来自内部的攻击,盗用账号行为等。这就出现了入侵检测系统,入侵检测系统对于防火墙所不能控制的误用和异常的用户行为进行检测并进行报警,这样人们就可以发现来自于内部的攻击,以及来自于外部的满足访问控制条件的攻击。但是入侵检测系统也不是万能的,当一个非法用户运用一个合法用户的账号进行该账号所允许的“合法”操作的时候,他(她)就瞒过了入侵检测系统,在这种时候基于内容的网络监控系统将发挥它的作用,记录下这一过程。
网络监控系统和目前的审计系统的主要区别在于网络监控根据具体实现的应用的目的不同进行不同层面的协议分析,而审计系统仅仅记录了用户的简单的访问行为。
网络监控系统是网络安全体系中的一环,是对防火墙、入侵检测和目前的审计系统的补充。当然,目前也有些防火墙厂家为了扩充自己的功能将入侵检测和网络监控的功能集成到了自己的产品之中。
二、网络监控分类
网络监控系统是基于网络监听技术实现的,其主要目的是通过如实获取网络上的通信数据,以此为依据根据应用的具体目的来实现其应用功能。
网络监控按照其监控的内容可以分为通信内容监控、网络流量监控、网络运行状况监控;按照其布置的位置可以分为远程监控、本地监控和基于主机的监控。 |