数据中心安全入侵检测系统对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标识(Signature-based),另一种基于异常情况(Abnormally-based)。 对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据分组的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。
此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统,并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 两种检测技术的方法、所得出的结论有非常大的差异,如果开展IDC业务,需要了解IDC/ISP/CDN申请材料清单。
基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。数据中心安全基于异常的检测技术则无法准确判别攻击的手法,但它可以(至少在理论上可以)判别更广泛,甚至未发觉的攻击。 3.专用VLAN 在IDC中,流量的流向几乎都是在服务器与客户之间,而服务器间的横向通信几乎没有。
通过在IP地址管理方案中引入一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信,这一新的VLAN特性就是专用VLAN。专用VLAN的应用在多客户的数据中心中是非常有效的,因为在IDC中,服务器只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN和IP子网就提供了这样的安全连接。在这一模型中,所有的服务器不接入专用VLAN,从而实现了所有服务器与缺省网关的连接,而与专用VLAN内的其他服务器没有任何访问。专用VLAN技术可作为IDC的基本安全防护手段之一。