IDS产品技术白皮书WORD

1、文档可能无法思考全面，请浏览后下载! UnisIDS技术白皮书19 / 231 UnisIDS 简介1.1 入侵检测系统概述1.1.1 入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙，入侵检测系统(IDS ，Intrusion Detection System)可以在系统内部定义各种hacking手段，进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”，那么 IDS相当于进行“无人自动监控”的闭路电视设备。 入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。基于网络的入侵检测系统具有如下特点：n 通过分析网络上的数据包进行入侵检测n 入侵者难以消除入侵

2、痕迹 监视资料将保存这些信息n 可以较早检测到通过网络的入侵n 可以检测到多种类型的入侵n 扫描 利用各种协议的脆弱点l 拒绝服务攻击 利用各种协议的脆弱点l hacking代码规则匹配 识别各种服务命令n 可灵活运用为其他用途l 检测/防止错误网络活动l 分析、监控网络流量l 防止机密资料的流失图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 n 具有系统日志或者系统呼叫的功能n 可识别入侵成功与否n 可以跟踪、监视系统内部行为n 检测系统缓冲区溢出 n 基于主机的入侵检测可以区分为l 基于单机的入侵检测系统 (收集单一系统的监视资料并判断入侵与否)l 基于多机的入侵检测系统

3、(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统，实现了基于主机检测功能和基于网络检测功能的无缝集成，UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析，一旦发现可疑的入侵行为和异常数据包，立即报警并做出相应的响应，使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用，从而最大程度的降低系统安全风险，有效的保护系统的资源和数据。1.1.2 入侵检测系统技术组成因素如图 2所示入侵检测系统的处理过程分为数据采集阶段，数据处理及过滤阶段，入侵分析及检测阶段，报告以及响应阶段等 4 阶段。 图 2入侵检测的技术组成因素数据采集阶段是数据

4、审核阶段。入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的，可以区分为异常行为和错误使用检测。 报告及响应阶段针对上一个阶段中进行的判断作出响应。如果被判断为发生入侵，系统将对其采取相应地响应措施，或者通知管理人员发生入侵以便于采取措施。最近人们对入侵检测以及响应的要求日益增加，特别是对其跟踪功能的要求

5、越来越强烈。1.1.3 入侵检测/响应流程图图 3入侵检测/响应流程图如上图，网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应，响应的形式可以是多种多样的。 如果一个会话匹配Network Agent的规则，则作出相应的入侵响应。1.2 UnisIDS的特点1.2.1 UnisIDS的特点UnisIDS针对INTERNET或者INTRANET的安全威胁因素，提供各种详尽的检测及响应机制，从而提高整个网络资源的安全性能。在不影响网络性能的情况下，通过简单的设置来有效地增强系统的安全性。UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎Ne

6、twork Agent和基于主机的入侵检测引擎Host Agent（即将推出）三个模块，用户可根据需要选用相应的模块。 Admin（管理中心）是UnisIDS的管理中心，提供友好的用户界面，通过对配置和策略的管理集中控制引擎的工作，对网络和服务器的状态进行实时监视，并可以生成各种统计报表。n 基于MicroSoft Win2000的管理平台n 集中管理和配置多个远程的Network Agent 和Host Agentn 存储Network Agent 和Host Agent发送的数据n 接收Network Agent 和Host Agent发来的实时警报n 支持常用 DBn 提高了报表处理能力

7、（Crystal Report）n 支持在线升级n 详尽的帮助 (支持在线帮助)Network Agent（网络引擎）通过对网络数据包的实时分析得到的，它可以检测各种不同类型的攻击，包括扫描、拒绝服务等。n 通过分析网络上的数据包进行入侵检测n 入侵者难以消除入侵痕迹 可以用于监视资料n 可以较早检测到通过网络的入侵n 可以检测到多种类型的入侵l 扫描 利用各种协议的脆弱点l 服务拒绝攻击 利用各种协议的脆弱点l 攻击代码规则匹配 识别各种服务命令n 可灵活运用为其它用途l 检测/防止网络错误活动l 分析、监控网络流量l 防止机密资料的流失n 多种入侵响应l 向管理中心发警告消息l 向安全管理

8、员发Email l 记录事件日志和整个会话n 截断入侵连接 Host Agent（主机引擎）通过对系统资源、进程、日志等的实时监视，发现可疑的入侵行为并做相应的分析和验证，保证系统数据的完整性。n 可识别入侵成功与否n 可以跟踪、监视系统内部行为n 检测系统缓冲区溢出 n 基于主机的入侵检测可以区分为l 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)l 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) n 入侵响应l 向管理中心发警告消息l 向安全管理员发Emaill 杀死进程、父进程、进程组或进程对话l 锁定用户帐号、终止系统、禁止网络访问l 记录事件日志和整个

9、会话1) 便利性和实用性UnisIDS软件包对于管理者来说是使用方便、实用且有效的信息安全工具。它具有如下功能：n 提供方便且友好的用户界面n 响应方法便于自主选择n 识别大范围的地址n 监视网络流量n 监测各种类型的信息包n 提供包含实际攻击内容的日志n 通过检测模式的优化来减小网络负担n 支持监控和阻塞技术2) 革新性的技术n 可以穿越防火墙，通过内建的监视器，通过设置多台代理监视可以实现监控，并控制多个子网内部的活动，而且不影响网络性能。n 通过报表可以获取有关网络活动和使用情况的详细报告，可以根据这些信息调整我们的内部网络使用策略。n 可以实时监控网络使用情况，检测网络上通过的信息。n

10、 可以从设置的每个代理收集资料并进行集中管理，因此也适用于大型网络。3) 安全性提高UnisIDS软件包通过检测发生在TCP/IP协议上的可能存在的欺骗因素来提高安全性。UnisIDS软件包为以互联网技术背景的电子商务环境提供完整的安全解决方案。采用方便全面的方法监视网络，对入侵行为进行、阻塞、报警并提供入侵日志。 UnisIDS主要的用户对象是各个单位的网络安全管理者、各信息安全咨询公司、信息安全法律执行机关、大中型企业、ISP、ICP、教育机构以及政府机构。UnisIDS软件包可以在不影响网络速度的情况下监视特定的应用会话，对入侵进行检测以及响应。同时可以在不影响网络性能的情况下配置几台N

11、etwork Agent来各自执行，提供详尽的设置功能，以适应大型网络,。1.2.2 UnisIDS 的功能UnisIDS可以对网络进行监控，并且对入侵作出响应。n 对网络使用情况进行监控n 检测是否发生入侵，以及违背策略的网络活动n 监视并阻塞对有害站点得浏览n 邮件监视(可以监视邮件的收件人、发件人和所发送的文件)n 可以限制一些网络活动 (如Telnet, FTP, HTTP 等等)n 可以提供详细的监视报告n 提供多种入侵响应方式1) 网络监视UnisIDS基于TCP/IP实现网络监视功能，可以通过定义各种安全策略来实现入侵检测、WEB监视、邮件监视等功能。n 监视对一些特定网站的访问

12、n 监视使用特定网络协议进行访问的用户活动n 监视包含特定站点和关键字的邮件信息n 监视网络活动，检测是否存在攻击行为(主要针对拒绝服务攻击)n 监视网络上的入侵活动2）入侵检测UnisIDS可以由定义的入侵模式检测数百种类型的入侵。入侵分为如下四种。n 通过详尽的入侵检测引擎，检测网络协议攻击 n 在目前的产品中提供最多种类的拒绝服务检测n 可以改变用户权限,在超级用户模式下检测对服务器的任意操作n 用户可以启动多条入侵检测功能来检测特定用户访问服务器、访问特定服务器以及使用特定服务的情况。另外也可以这些功能的基础上，可以按照时间段添加特定安全策略。3) 入侵响应UnisIDS对违反定义的安

13、全策略的各种活动或者入侵行为以各种方式进行响应。下面列出了各种入侵响应方式,可以根据需要组合使用。n 终止与入侵相关的会话n 以E-mail形式发送警报 n 在NT 事件日志上保存警报日志n 在数据库中保存关于入侵的信息4) 入侵截断UnisIDS 网络入侵检测系统可截断特定用户对特定服务器的方位或者使用特定服务。可以截断的服务如下：n 与E-Mail相关的服务 (POP, IMAP and SMTP)n Web Browsing (HTTP)n News (NNTP)n Telnetn FTPn NFSn 其它所有TCP 服务5）WEB监视UnisIDS入侵检测系统可以阻塞对有害网站的访问，

14、也可以根据用户指定来阻塞对一些特定网站的访问。管理人员可以通过WEB监视器来检查对WEB网站的访问情况。对于WEB监视器，可以应用如下规则：n 特定用户对所有网站的访问n 所有客户对特定网站的访问n 特定客户对指定的一组WEB的访问情况n 一组特定用户对指定WEB的访问情况6）日志UnisIDS入侵检测系统根据协议提供有关网络活动和使用情况的分析报告。包括：n 产生对所有网络活动的总结报告n 通过网络监视器产生网络使用情况报告n 通过入侵检测系统报告所有违背安全规则的事件n 产生和WEB使用情况有关的日志报告n 报告各类协议的使用情况n 报告Network Agent的设置情况。1.2.3 U

15、nisIDS各种功能的运用概况UnisIDS 网络入侵检测系统各种功能的运用如下表区 分功 能运 用 步 骤Network1. 收集数据包信息1. 确认网络的物理连接情况Agent2.Log 存储 (1. MDB 2. 日志文件)3.运用系统入侵检测规则4.运用用户定义检测规则5.入侵响应2. 确认Network Agent的设置 情况3. 确认服务后台程序执行与否4. Network Agent启动/停止功能5. 添加Network Agent及变更相关信息Admin1.提供用户界面2.配置编辑器3.策略编辑器4.数据备份1.确定网络入侵检测策略 (安全启动, 备份, 维护及运用)2. 是否

16、为Admin运行机制3. 全局环境设置4. 确认Admin的设置及相关服务启动与否5. 添加管理者及用户6. 运用Network Agent软件包分析网络使用情况，保护网络安全。 表1 UnisIDS软件包的功能和运用步骤2 IDS的使用方案2.1 系统要求UnisIDS软件包必须满足如下系统要求，用户才能正确使用 UnisIDS。区 分要 求 事 项位置入侵系统位于网络间的边界处入侵检测系统位于物理上安全的位置。系统要求Network Agent- CPU : Pentium III 733 以上- 内存 : 512 MB 以上- 硬盘 : 20GB 以上- 标准网卡 2个- 操作系统 :

17、Windows2000Admin- CPU : Pentium III 500- 内存 : 256 MB 以上- 硬盘 : 40GB 以上- 标准网卡 1个- 操作系统 : Windows2000表2 UnisIDS系统要求2.2 网络环境图 4 UnisIDS的典型应用环境上面是典型的UnisIDS应用环境拓扑结构图，说明了UnisIDS软件包在网络上设置的位置，以便于理解本产品在网络上所要执行的功能。在该网络系统中安装了UnisIDS入侵检测系统的Admin和Network Agent模块，其中Admin通过hub与Network Agent相连，对Network Agent进行配置和管理

18、； Network Agent安装在网络的入口处：防火墙的内部口和中立区入口，可以实时监视该网络系统和Internet间传输的数据包，检测来自Internet上对内部网和中立区服务器的异常行为和攻击，包括当前较为流行的IIS Unicode漏洞攻击、BIND缓冲区溢出攻击、DOS攻击等，并做出相应的响应，报警、截断并记录入侵行为。如果在内部各子网的入口安装Network Agent模块，则可以监视内部网的活动，有效的发现来自内部网的攻击。UnisIDS软件包的管理者接口部分都位于Admin中。 从Network Agent软件包不能访问 Admin。对Network Agent中的环境参数的设

19、置和变更在 Admin中集中进行, 而在Network Agent 按照Admin中进行的设置的运行。在Network Agent中采集的监视数据和保存的违反安全规则的监视数据，不能直接在Network Agent查询或者输出。Network Agent中保存的这些数据只有传送到Admin之后，才可以通过 Admin的接口查询或者输出。2.3 UnisIDS软件包的功能和设置对安全产生的影响正确设置UnisIDS软件包并添加相应管理者，可以提供监控网络使用情况、入侵检测，以及违背策略的活动的检测、 WEB检测及截断有害站点(情报通信伦理委员会基准)、 MAIL监控 (接收者,发信者,参考附件文

20、件检索)、 针对特定协议(服务)相关的网络活动的响应、防止网络上的不必要的活动(Telnet, FTP, HTTP 等等)等功能和详尽的报表功能和多种入侵响应方式。按各种功能分类UnisIDS网络入侵系统的运用如下表区 分功 能运 用 步 骤NetworkAgent1. 收集数据包信息2.Log保存 (1. MDB 2. 日志文件)3.运用入侵检测规则4.运用用户定义入侵检测规则5.入侵响应 1) 确认网络的物理连接2) 确认Network Agent的设置3) 确认后台服务执行与否Network Agent启动 / 停止功能4) Network Agent 添加及变更相应信息Admin1.

21、提供用户界面2. 配置编辑器3. 策略编辑器4. 数据备份1)指定网络入侵检测策略 (安全的启动, 备份, 维护及运用)2) 确认Admin启动机制3) 全局环境设置4) 确认Admin的设置以及相关服务启动与否5) 添加管理者以及用户6) 运用表3 UnisIDSt软件包的功能和运用步骤安装时可以按照 UnisIDS软件包的作用和所要执行的功能来决定安装 Network Agent还是 Admin 。3 IDS比较以下是几种常见的入侵检测系统的比较。SessionWallISS RealSecureUnisIDS备注协议TCP/IP上的重要协议TCP/IP上的重要协议TCP/IP上的重要协议

22、协议用户定义可以添加端口号可添加端口号有限可以添加端口，可以定义用户规则实施监控TCP上的重要协议不可以TCP上的重要协议Web数据重现按照连接单位重现极其少可重现所有会话及入侵当时日志数据重现按照连接单位重现不可以综合显示所建立的连接多个连接组成一页资料保存方式（日志文件）针对每个连接生成文件（保存效率不高）极其有限把多个连接生成为一个文件（保存效率高）网络流量统计按照服务器、客户端为单位表现TCP/IP上的重要协议不可以按照时间段、服务器、客户端为单位表现TCP/IP上的所有协议入侵检测类型100余种400余种1200余种比起入侵检测类型，当前的入侵类型更为重要规则定义方式由UI定义，样式

23、匹配由开发者自己定义（用户自己不可能定义入侵样式）用户可对各个协议进行定义可以定义当前重要的入侵类型用户规则定义用户可对各个协议进行定义极其有限可以针对各种协议进行指定可以指定当前重要的入侵检测类型区分网络入侵重要度不可以可以（分为3个阶段）可以（分为3个阶段）需要区分入侵检测和单纯信息入侵响应方式截断，报警截断，报警截断，报警入侵截断和报警是必须的入侵报警方法E-mail、FaxE-mailE-mail入侵检测库变更下载之后运用变更极其有限下载入侵检测规则之后运用变更内容可以保持最新入侵检测规则入侵检测保存方式（保存日志）可以以单一的记录保存，因此效率较高可以检索数据库以多个记录组成，因此用户不能自己使用数据库以单一记录保存，因此效率较高，可以按照需要检索数据库资料保存方式（保存日志）在线升级可以（只有规则）可以（只有规则）可以（规则，产品多种）规则及产品联机帮助和在线升级集成管理不支持只对相同产品（NIDS）所有产品的集中管理（NIDS，HIDS等）支持常用DB可以可以可以可以