入侵检测系统(简称IDS)。计算机网络的安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后, 政府、银行、各大企业等机构都有自己的内网资源。从这些组织的网络办公环境可以看出,行政结构是金字塔型,但是局域网的网络管理却是平面型的,从网络安全的角度看,当公司的内部系统被入侵、破坏与泄密是一个严重的问题,以及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计,全球80%以上的入侵来自于内部。此外,不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失。当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet,以政府上网为标志的数字政府使国家机关与Internet互联。通过Internet 实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大,对网络的各类攻击与破坏也与日俱增。无论政府、商务,还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分,同时也是国家网络经济发展的关键。
对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一,是网络安全防护的最后一道防线。
2. 天一入侵检测系统简介
格方天一网络入侵检测系统(IDS),是北京格方天一网络安全技术有限公司针对目前网络系统严重的安全隐患而开发的安全产品。该产品是一款技术先进、性能优越、功能强大的防黑客入侵并实时报警响应和自动防范危害行为的入侵检测系统,它从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到攻击的迹象。在内部局域网的主机和服务器遭受破坏之前阻止入侵行为,保证企业网络的安全运行。系统采用引擎/控制台结构,网络引擎部署于网络中的各个关键点,通过网络和中央控制台交换信息。入侵检测引擎为专用硬件设备,可以安装在标准的机架上,一个检测引擎可以保护一个网段。管理控制台是对检测引擎进行配置、管理和数据查询的软件程序,它可以安装在内网的管理员主机(Windows 2000/NT操作系统)上。
格方天一入侵检测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以格方天一入侵监测系统可以说是防火墙的延续。它们可以和防火墙和路由器配合工作。例如,格方天一入侵检测系统可以重新配置来禁止从防火墙外部进入的恶意流量。格方天一入侵检测系统作为一种主动保护自己免受攻击的一种网络安全技术产品是作为防火墙的合理补充,能够帮助系统对付网络的攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门。
天一入侵检测系统功能是针对入侵行为、违规活动等网络行为进行检测、预警与响应工作,它能够有效地防止攻击事件的发生。它不仅能够防止来自外部的攻击行为,而且能够防止防止内部发起的入侵行为,同时它是实时的,是信息与网络系统安全实施的主要领域。任何具有一定规模的网络系统均对此系统有较大的需求。
3. 天一入侵监测系统的组成
天一入侵检测系统由两部分组成,控制中心和探测引擎.
3.1. 控制中心
控制中心是整个网络预警系统的集中显示和控制软件系统.它负责接收分布在TCP/IP网络上的探测引擎传送的网络预警信息,处理这些信息,并提供报警显示(根据控制中心制定的策略),同时它还要负责控制探测器系统的运行状态,提供对预警信息的记录和检索、统计功能。
3.2. 探测引擎
探测引擎实际是天一入侵检测系统运行的核心,它监听该引擎所在的物理网络上的所有通信信息,分析这些网络通信信息,将分析结果与探测引擎上运行的策略集相匹配,依照匹配结果对网络信息的交换执行报警、阻断、日志等功能。同时它还需要完成对控制中心指令的接收和响应工作。探测引擎是由策略驱动的网络监听和分析系统。
Libpcap
虚拟机
过滤器
记录器
告警器
数 据 库
磁盘管理器
CGI程序
WEB服务器
配置管理进程
引擎
实时告警数据
智能分析模块
攻击特征库
4.天一入侵监测系统检测功能
天一入侵检测系统可以同时对敏感网段实现监测,并实现集中管理,符合企业用户的需求。天一入侵检测系统是网络攻击和违规行为识别与响应系统。它运行于有敏感数据需要保护的网络上,通过实时监视网络上的数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它违规网络活动。当检测到网络攻击和违规网络活动时, 天一入侵检测系统能够按用户安全策略自动进行攻击响应。
4.1.天一入侵监测系统的主要功能
▼ 实时网络数据流跟踪:
天一入侵检测系统运行于有敏感数据需要保护的网络上。系统监视网络上的数据流,分析网络通讯会话轨迹。
▼ 实时系统审计信息分析跟踪:
天一入侵检测系统运行于重要的网络服务器上。实时监视系统活动,对敏感事件和用户关注的事件实时报警。
▼ 网络攻击模式识别:
天一入侵检测系统内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯会话轨迹,寻找网络攻击模式。
▼ 网络安全违规活动捕获:
网络安全策略对网络活动进行检查,用户可以根据要检查的实际系统制定相应的策略, 捕获网络安全违规活动。
▼ 网络安全事件报警:
天一入侵检测系统够根据所发生的网络安全事件,以不同的事件等级产生控制台报警。
▼ 网络安全事件的自动响应:
天一入侵检测系统能够根据系统策略自动响应网络安全事件,包括记录网络事件发生的日期和时间,事件的源与目的IP地址,也可以和其它网络安全设备(如:防火墙)制定互动规则,实时阻断非法事件的连接等。
▼ 记录网络攻击的内容:
记录网络攻击的内容,以多种文档格式显示,并提示系统安全管理员应该采取什么样的安全措施。
▼ 提供智能化网络安全审计方案:
天一入侵检测系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。
4.2.天一入侵检测系统防范的典型的攻击方式
▼ 探测攻击:
寻找攻击目标并收集相关信息及漏洞,如Ping Sweeps, TCP/UDP scan, SATAN, IPHalfScan, Port Scan等;
▼ 拒绝服务攻击:
抢占目标系统资源阻止合法用户使用系统或使系统崩溃,如Ping of Death ,SYN Flood, TearDrop, UDPBomb, Land, Trinoo, TFN2K, Stacheldraht等。
▼ 缓冲区溢出攻击:
利用系统应用程序中存在的错误,执行特定的代码以获取系统的超级权限,如DNS overflow, statd overflow等。
▼ WEB攻击:
利用CGI、WEB服务器和浏览器中存在的安全漏洞,损害系统安全或导致系统崩溃。例如URL, HTTP, HTML, JavaScript, Frames, Java, and ActiveX等攻击。
▼ 非授权访问:
越权访问文件、执行无权操作,如Admind, EvilFTP Backdoor, Finger_perl, FTP_Root, FTP_PrivilegedBounce, BackOrifice等。
▼ 网络服务缺陷攻击:
利用NFS,NIS,FTP等服务存在的漏洞,进行攻击和非法访问,如NfsGuess, NfsMknod, MmapMnt等。
▼ 利用型攻击:
利用多种协议、多种手段依次进行的探测、攻击行为,如口令扫描、木马程序等等。
5. 天一入侵检测系统的管理功能
天一入侵检测系统网络入侵侦测系统其主要的管理功能描述如下:
5.1. 警报信息查询功能
警报查询功能为用户提供了对警报信息的简单、实用的查询和处理能力。用户可以根据各种可选条件,例如网络引擎的IP地址、源IP地址、目的IP地址、源端口号、目的端口号、警报产生的时间、危险级别等等,使用单一条件或者复合条件进行查询,当警报信息数量大、信息来源广泛的时候,网络管理员可以很轻松的对警报信息进行分类,从而突出显示网络管理员需要的信息。同时,警报查询功能还提供了对于警报信息的处理能力,可以使网络管理员在经过有条件查询后对查询结果进行处理,包括保存为本地文件、生成格式报表和删除。
