冰之眼网络入侵检测系统产品白皮书

1、冰之眼网络入侵检测系统产品白皮书NSFOCUS?7/14/2021绿盟科技声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，均属绿盟科技所有，并受到有关产权及法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。商标信息绿盟科技、NSFOCUS、冰之眼是绿盟科技的商标。目录.刖二1 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document .为什么需要入侵检测系统1防火墙的局限2 HYPERLINK l bookmark8 o Current Document 入侵检测系

2、统的特点2 HYPERLINK l bookmark10 o Current Document .如何评价入侵检测系统3 HYPERLINK l bookmark12 o Current Document .绿盟科技网络入侵检测系统3产品功能3体系架构4产品特点5 HYPERLINK l bookmark16 o Current Document 基于对象的虚拟系统5准确细致的检测技术6强大丰富的管理能力6 HYPERLINK l bookmark25 o Current Document 可扩展的入侵保护8高可靠的自身平安性9解决方案9 HYPERLINK l bookmark31 o Cu

3、rrent Document 小型网络之精细管理方案9 HYPERLINK l bookmark33 o Current Document 中型网络之集中管理方案10 HYPERLINK l bookmark35 o Current Document 大型网络之分级管理方案11.结论12、儿、,刖百随着信息化技术的深入和互联网的迅速开展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济根底和命脉。众多的企业、组织与政府部门都在组建和开展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络

4、的依赖程度越来越大。伴随着网络的开展，也产生了各种各样的问题，其中平安问题尤为突出。现在，网络中蠕虫、病毒及垃圾肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用包括P2P下载、IM即时通讯、网络游戏、在线视频等行为，黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为，成为所有网络用户面临的一个重要问题。为什么需要入侵检测系统随着网络的普及，网络平安事件的发生离我们越来越近，我们可能遇到如下情况：公司的网络系统被入侵了，造成效劳器瘫痪，但不知道什么时候被入侵的；客户抱怨公司

5、的网页无法正常翻开，检查发现是效劳器被攻击了，但不知道遭受何种方式的攻击；公司XX资料被窃，给公司造成巨大的损失，但是检查不出是谁干的；公司网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何去除和防止再次遭到攻击；公司网络被入侵了，平安事件调查中缺乏证据。根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的平安风险。如何及时的、准确的发现违反平安策略的事件，并及时处理，是广阔用户迫切需要解决的问题。防火墙的局限众多的企业、组织与政府部门都在组建和开展自己的网络，为了保证网络资源的平安，企业一般采用防火墙作为平安保障体系的第一道防线，通过控制，防御黑客攻击，提供静态防护。但是

6、随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。传统的防火墙主要有以下的缺乏：防火墙作为控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比方针对WEB效劳的注入攻击等。防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的平安保障体系还有进一步完善的需要。入侵检测系统的特点入侵检测系统IntrusionDetectionSystem是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道平安闸门，对网络进展检测，提供对内部攻击、外部攻击和

7、误操作的实时监控，提供动态保护大大提高了网络的平安性。入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进展报警；事中防护：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCPKiller等方式进展报警及动态防护；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。综上所述，防火墙提供静态防护，而入侵检测系统提供动态防护，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防护。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进展检查，入侵检测系统相当于闭路监控系统，

8、监控关键位置如财务、库房等地的平安状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警。两者的配合使用才能保证平安。如何评价入侵检测系统入侵检测系统具有实时检测、报警和动态响应等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和平安的评价是入侵检测系统的根本标准。入侵检测系统（IDS应该从四个方面评价：准确的、广泛的入侵检测能力；优异的产品性能；强大的管理能力；良好的自身平安性。一个完善的入侵检测系统IDS应该具有以下特点：实时报警，报警的准确率高，误报和漏报率低；不同性能的产品，能够满足不同网络的需求；操作简单，易于部署、管理；自身的平安性高，不

9、易遭受攻击。四.绿盟科技网络入侵检测系统针对目前流行的蠕虫、病毒、间谍软件、垃圾、DDoS等黑客攻击，以及网络资源滥用P2P下载、IM即时通讯、网游、视频等，绿盟科技提供了完善的平安检测方案。冰之眼网络入侵检测系统ICEYENIDS是绿盟科技自主知识产权的平安产品，它是对防火墙的有效补充，实时检测网络流量，监控各种网络行为，对违反平安策略的流量及时报警和防护，实现从事前警告、事中防护到事后取证的一体化解决方案。产品功能冰之眼网络入侵检测系统具有三大功能：入侵检测冰之眼NIDS对黑客攻击缓冲区溢出、SQL注入、暴力猜想、拒绝效劳、扫描探测、非授权等、蠕虫病毒、木马后门、间谍软件、僵尸网络等进展实

10、时检测及报警，并通过与防火墙联动、TCPKiller、发送、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进展动态防护。行为监控冰之眼NIDS系统会对网络流量进展监控，对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。流量分析冰之眼NIDS对网络进展流量分析，实时统计出当前网络中的各种报文流量。体系架构冰之眼网络入侵检测系统的体系架构主要由控制台、网络探测器及升级站点三个局部组成，方便各种网络环境的灵活部署和管理。SSLWindows控制台EB控制台弗比管理系统监控管理H志管理系统监控里置n理系统地作行小墙H动| 内到H卡| H卡加黑心

11、| 他用中售 3HMPTR4P攻击结果判定协议识别甲碎片枇组TCP状态跟踪TCP流汇聚产品特点基于对象的虚拟系统冰之眼NIDS提供业界领先的基于对象的策略管理系统，完全统一的规那么配置方式强大而灵活。冰之眼NIDS的所有策略规那么都使用对象来定义，具有丰富的预定义对象。冰之眼的对象包括网络对象、效劳对象、时间对象、事件对象。每个对象都支持组的概念，在设置规那么的时候可以基于组进展规那么设置，组对象可以是单个对象也可是多个对象，或者是二者的组合，通过组的概念可以减少IDS的规那么数量，简化了管理员的管理；冰之眼NIDS提供基于对象的虚拟系统VIDS，针对不同的网络环境和平安需求，基于IP地址组、

12、段、规那么组、集、时间、动作等对象，制定不同的规那么和响应方式，每个虚拟系统分别执行不同的规那么集，实现面向不同对象、不同策略的智能化入侵检测；冰之眼NIDS携带了超过2000条经过仔细检测与时间考验的攻击特征，由著名的NSFocus平安小组精心提炼而成。针对每个攻击均附有详细描述和解决方法，对应NSFocusID、CVEID、BugtraqID,并提供了详细的修复方法及补丁下载地址;绿盟科技具有领先的漏洞预警能力，规那么库通过国际最著名的平安漏洞库CVE严格兼容性标准评审，获得最高级别的CVE兼容性认证CVEpatible，是目前国内唯一向国外美国出口入侵检测规那么库的公司。绿盟科技每月平均

13、提供四到五次升级更新，在紧急情况下可即时提供更新；冰之眼NIDS支持审计功能，可以记录网络的通信报文，并解码回放，目前支持HTTP、SMTP、FTP、Telnet、POP3协议。准确细致的检测技术冰之眼NIDS全面深入的协议分析技术能够分析超过100种应用层协议，包括HTTP、FTP、SMTP等，极大地提高检测的准确性，降低误报率；冰之眼NIDS通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进展处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、后门，对于运用了SmartT

14、unnel技术的软件也能准确地捕获分析；冰之眼NIDS通过协议分析，发现任何违背RFC规定后，均视为协议异常。协议异常最为重要的作用是检测未知的溢出攻击与拒绝效劳攻击，协议异常具有接近100%的检测准确率和近乎零的误报率；冰之眼NIDS通过对多种尖端检测技术的综合运用以及数千种攻击行为的全面深入分析，可以准确检测出几乎所有攻击的最终结果成功还是失败。依据该结果，管理员可以迅速判断出具有最高风险的平安隐患，并在第一时间做出处理措施加以弥补；冰之眼NIDS具有的IP碎片重组与TCP流会聚能力，能够检测到黑客采用任意分片方式进展的攻击，提高检测效率。强大丰富的管理能力冰之眼NIDS同时支持B/S和C

15、/S两种管理方式。Web管理灵活方便，适合在任何IP可达地点远程管理，而且Web界面支持MSIE、Netscape、Firefox、Opera四大浏览器，真正意义上实现了跨平台；冰之眼NIDS支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。单级管理模式：控制台直接收理网络探测器，一个控制台可以管理多台网络探测器。单级管理控制台主辅管理模式：网络探测器同时承受一个主控制台和多个辅控制台的管理。主控制台可以完全控制网络探测器；辅控制台只能承受网络探测器发送的日志信息，不能操作网络探测器。多级管理模式：控制台支持任意层次的级联部署，实现多级管理。上级控制台可以将最新的升

16、级补丁、规那么模板文件等统一发送到下级控制台，保持整个系统的完整统一性；下级控制台可以向上级控制台传送日志信息。冰之眼NIDS提供带外管理OOB功能，解决远程应急管理的需求，减少用户运营本钱、提高运营效率、减少宕机时间、提高效劳质量;冰之眼NIDS事件过滤系统支持采用攻击发生时间X围、事件名称、事件类别、所属效劳、源网络X围、目的网络X围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反响速度；实时在线升级、自动在线升级、离线升级、冰之眼NIDS支持多种升级方式，使NIDS提供最前沿的平安保障；冰

17、之眼NIDS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MSWord、Html、JPG格式导出。同时支持定时通过电子发送报表至系统管理员；从实时升级系统到报表系统，从攻击告警到日志备份，冰之眼入侵检测系统完全支持零管理技术。所有管理员需要日常进展的操作均可由系统定时自动后台运行，极大地降低了维护费用与管理员的工作强度；冰之眼NIDS具有流量分析的功能，不是仅仅通过端口来判断协议进而统计流量，而是通过分析协议的内容后才进展统计，更准确可靠；能够产生详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN。可扩展的入

18、侵保护冰之眼NIDS具有良好的可扩展性，仅仅通过数字证书就能很方便、快捷地从IDS升级到IPS,为用户未来的产品使用提供更广阔的空间；冰之眼NIDS支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力；冰之眼NIDS可以与流行的主流防火墙产品CheckpointFW-1、Netscreenu天融信、卫士通龙马等进展联动阻断入侵者；冰之眼NIDS具有TCPKILLER功能，能够实时地切断基于TCP协议的攻击行为；冰之眼NIDS支持通过发送、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等响应方式及时报警；冰之眼NIDS提供了基于XML的开放式IDBPIntrusionDet

19、ectionandBlockProtocol联动接口，任何平安产品可以基于此接口与冰之眼NIDS联动。高可靠的自身平安性冰之眼NIDS专门设计了平安、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系构造大大提升了处理能力；操作系统经过优化和平安性处理，保证系统的平安性和抗毁性；冰之眼NIDS具有更强的高可用性，设备支持热插拔的冗余双电源，防止电源硬件故障时设备宕机，提高设备可用性；冰之眼NIDS采用特别定制的操作系统，与控制台间的通信采用强加密的SSL加密传输告警日志与控制命令，完全防止了可能存在的嗅探行为，保证了数据传输的平安；冰之眼NIDS监听网口

20、无需设置IP地址，防止了被扫描和攻击；冰之眼网络探测器与控制台在网络完全断开的情况下，探测器仍然会将检测到的事件在探测器本地保存，等网络恢复正常自动地同步到冰之眼控制台，提供日志缓存。解决方案绿盟科技提供一整套的入侵检测解决方案，实现从企业网络核心至边缘及分支机构的全面检测。冰之眼网络入侵检测系统的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，满足不同企业不同管理模式需要。小型网络之精细管理方案针对小型网络，绿盟科技入侵检测解决方案提供虚拟IDS精细管理方案，通过基于对象的策略管理，冰之眼NIDS针对不同部门/网段，制定不同的规那么和响应方式，每个虚拟系统分别执行不同的平安策略，实现面向不同对象、实现不同策略的智能化、精细化的入侵检测。如下列图所示：中型网络之集中管理方案NIDS利用“冰针对中型网络，绿盟科技入侵检测解决方案提供集中管理方案，通过将“冰之眼部署在多个关键网段如平安管理区、DMZ区、效劳器区及办公区实现多处监控。之眼控制台集中管