5.2.引擎管理功能
引擎管理功能使用户可以一次性管理多个网络引擎，查询各个网段的安全状况，针对不同的情况及时的修改安全策略。
网络管理员对引擎的管理包括：启动网络引擎、停止网络引擎、查看引擎的运行状态、本地警报信息的同步、网络引擎的运行环境的配置、应用于网络引擎的安全策略的定制、本地网络日志的离线分析等等。

  
5.3.规则管理功能
规则管理功能为用户提供了一个根据不同网段的危险程度灵活的配置安全策略的工具。网络管理员可以利用规则管理功能,轻松的针对特定的网络引擎定制策略，以满足不同的网段对网络安全的要求。一次定制可以应用于多个网络引擎。同时，规则管理功能还向用户提供了入侵侦测规则的扩充能力，网络管理员可以根据自己需要,定制入侵侦测规则，直接应用于网络引擎，可以很快实现网络管理员的安全意图。


策略管理窗口
策略管理窗口4－3


5.4. 警报信息的统计和报表功能
天一入侵检测系统提供了非常简便的入侵警报统计和报表工具。通过管理员，可以使用限制条件，对入侵警报进行过虑，并进行统计或报表。其统计结果包括文字和图形两种方式。
5.5.用户管理功能
用户管理功能可以对系统的访问权限进行全面的控制，不仅可以阻止非法用户使用天一入侵检测系统，而且对合法用户的权限也进行了严格的分配，有效的保护了系统数据的安全性。用户管理功能提供了口令修改、添加用户、删除用户、用户权限配置等等功能。
6.天一入侵检测系统的主要特点
6.1 方便、简单的控制端操作界面
天一入侵检测系统控制台提供了友好的视窗界面，操作简单、容易掌握、易于管理。
6.2 丰富、强大的入侵侦测特征库
拥有一个内容丰富、准确的入侵侦测特征库，是天一入侵检测系统可以侦测多种入侵行为，包括：拒绝服务攻击、溢出攻击、未受权访问、网络资源滥用、涉密信息传输、病毒传输等的可靠保证。
6.3 支持多平台
天一入侵检测系统可以满足不同用户选用不同的操作系统的需求，在系统设计过程中采用了大量的跨平台技术和。同时对通讯进行加密，保证自身信息传输的可靠性.
6.4灵活、多变的应用方式
天一入侵检测系统分为网络引擎和控制台两个完全独立的部分。网络管理员可以根据所需保护网络的具体情况和安全策略，灵活的布置网络引擎，实现对网络的立体式，多层监控与保护。并且通过一个控制台就可以控制所有网络引擎，达到了分布式安装、集中管理，管理员可以高效的完成对大型网络的安全管理的任务，提高工作效率。
6.5 实现大型网络的分层、分级管理
天一入侵检测系统使用了严格的用户身份认证与控制机制，根据用户的权限赋予该用户对系统功能的使用能力。例如：规则定制与应用、警报结果查询与删除、用户的管理、网络引擎的管理、入侵行为的响应动作定制等等，使不同级别的网络管理员具备不同的对整个网络的管理能力。实现对大型网络的分层、分级管理。
6.6 提供多种入侵响应技术
天一入侵检测系统提供了多种入侵行为响应技术，用户可以根据网络的安全策略进行选择。包括：记录现场数据、发送邮件、阻断连接、分级上报等功能。分级上报又分为向上级数据库记录现场数据和向上级管理员发送警报邮件两种形式。
7.天一入侵检测系统的安装
7.1.探测器的安装
探测器的工作原理依赖于以太网的物理特性，因此探测器应连接在集线器的一个端口上。若网络环境中只有交换设备，可以将探测器连接在交换设备的监视（Probe）端口上或在交换机上定义一个VLAN使其包含该交换机上所有需要监视的端口，或特意地构造一个局部的共享总线式的以太网环境，使应被监视的主机或网络能够与探测器处于一个共享的以太网环境内，否则探测器无法接收到网上的所有数据流。
7.2.控制中心的安装

控制中心原则上可以连接在网络的任何部位。但由于安全控制中心担负着重要的管理任务，应将其放置在网络中的安全部位。控制中心通过与探测器的通信来控制它们的运行，加载安全规则、接收报警信息。因此，网络中必须存在安全控制中心到各探测器的物理网络通路。













8．天一入侵监测系统的接入结构


结构图：

9．天一入侵监测系统的性能特点
9.1 策略设置
  9.1.1 最大事策略集:报告策略库中所有的事件.
  9.1.2 用户自定义策略:根据所保护的对象的不同定义不同的策略.
9.1.3 最小策略集:报告极重要的事件.
9.2 信息收集与分析
  9.2.1 信息的收集与分析是在探测器端进行,当发现异常行径时才与控制端进行通信,只占用很小的网络带宽.信息的收集与分析同步进行,快速反应.
9.3 实时的检测与追踪
  9.3.1 当发现可疑信息, 天一入侵检测系统可以准确的显示可疑数据的来源,及时向管理员报告,便于及时调整.
9.4 实时记录检测结果
  9.4.1 实时的记录收集与分析的结果并存储,便于进一步的统计与分析.
9.5 离线报警
  9.5.1 天一入侵检测系统可以自动将报警信息发送到通信工具.
9.6 人性化报告
  9.6.1 通过调用保存的日志文件,形成方便易懂的用户报告.
10. 天一入侵监测系统主要技术参数

主要技术参数


功能测试



攻击检测预警能力

支持

保护 IDS 防止 IP Desync

支持

重复制止攻击能力

支持

过滤器自定义能力

支持

实施阻断能力

支持

报警能力

支持

日志能力

支持

报告能力

支持

分布式设计方案

支持

性能测试



引擎速度

100Mb之60%流量测试，系统正常工作

包重组

支持

过滤器效率

支持

解码能力

支持

安全策略的定义

支持

产品可用性



界面可用性


GUI/Console,黑盒子/Sensor

支持的操作系统与应用


Windows NT/2000 Console

产品的完善性


成熟的产品

产品的安全性



安全可靠

11.          天一入侵监测系统涉及的技术
11.1.         天一入侵监测系统技术分析
天一入侵检测系统所采用的技术可分为特征检测与异常检测两种。  
  11.1.1.1 特征检测:
    特征检测这一检测是假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
  11.1.1.2 异常检测:
    异常检测是假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
11.2.       常用检测方法
天一入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
11.2.1 特征检测:
特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。
11.2.2统计检测:
统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量
间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：
11.2.2.1 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；
11.2.2.2 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；
11.2.2.3 多元模型，操作模型的扩展，通过同时分析多个参数实现检测；
11.2.2.4 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；
11.2.2.5 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。
总之,统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。
11.2.3专家系统
    用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
12.          攻击特征的发展方向
无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：
12.1.        入侵或攻击的综合化与复杂化
入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。
12.2.        入侵主体对象的间接化
入侵主体对象的间接化(即实施入侵与攻击的主体的隐蔽化),通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。
12.3.        入侵或攻击的规模扩大
对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。
12.4.        入侵或攻击技术的分布化
以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。
12.5.        攻击对象的转移
入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统。
13.          入侵检测技术的发展方向
13.1.        分布式入侵检测

第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。  

13.2.        智能化入侵检测

即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

13.3.        全面的安全防御方案

即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=3530&categ_code=10041003