Guide For Heidun NIDS
黑盾网络入侵检测系统V3.1
技术白皮书
福建省海峡信息技术有限公司
https://www.doczj.com/doc/a818416315.html,
目录
一、概述 (3)
1.1前言 (3)
1.2网络面临的威胁 (3)
1.3防火墙的缺陷 (4)
1.4入侵检测(IDS)的必要性 (5)
二、入侵检测系统的基本原理 (5)
2.1入侵检测(IDS)的概念 (5)
2.2 入侵检测(IDS)的分类 (6)
三、黑盾-网络入侵检测系统(HD-NIDS) (6)
3.1黑盾-网络入侵检测系统(HD-NIDS)概述 (6)
3.2HD-NIDS体系结构 (7)
3.3HD-NIDS的实时攻击检测 (7)
3.4HD-NIDS的技术特点 (10)
四、黑盾网络入侵检测系统功能模块简介 (12)
4.1网络实时检测功能 (13)
4.1.1网络流量 (13)
4.1.2协议流量 (13)
4.1.3用户流量 (14)
4.1.4包长度分布 (15)
4.2内容过滤功能 (15)
4.3MAC-IP绑定 (16)
4.4页面重组功能 (16)
4.5引擎多路监听全面监控 (17)
4.6定义规则 (18)
4.6.1 自动扫描网络状态 (18)
4.7阻断功能 (19)
4.8L OG查询功能 (19)
4.9查询模块 (19)
4.9.1数据库查询模块说明书 (20)
4.9.2 智能化的日志统计 (20)
4.10在线升级功能 (21)
五、黑盾网络入侵检测系统网络应用示意图 (23)
六、系统要求 (24)
一、概述
1.1前言
近年来,随着互联网在中国的迅速发展,政府、经济、军事、社会、文化和人们生活等各方面都越来越依赖于网络。网络经济的兴起和发展,极大地改变了人们的生活、工作和思维方式,促进了经济的发展。尤其是从1999年开始,在世界信息化大潮的影响和政府的大力推动下,国内逐渐兴起了一股政府上网、企业上网和家庭上网的热潮,眼下“数字中国”正大踏步向我们走来,大量建设的各种信息化系统己经成为国家关键基础设施,其中许多业务要与国际接轨,诸如电信、电子商务、金融网络等。但在这个发展潮流中,网络安全隐患始终难以解决,应该说国内网络安全是当今网络应用中最敏感的问题,是影响国家大局和长远利益的重大关键问题。黑客入侵给这个产业造成的负面影响是显而易见的。然而,由于网络安全的脆弱性,黑客在网上的攻击活动每年都以几何级数的速度在增长。尽管目前世界上已经有许多防火墙产品,但由于防火墙技术本身的局限性,无法彻底地防护智能化侵袭者如黑客对系统的攻击。
1.2网络面临的威胁
(1)黑客的攻击
据统计,几乎每20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超 过100亿美元。他们利用网络的各种漏洞和缺陷,或者修改网页进行恶作剧;或者非法进入主机破坏程序;或者闯入银行网络转移资金;或者窃取网上信息兴风作浪;或者进行电子邮件骚扰;或者施放病毒使网络陷于瘫痪等等。政府、军事、邮电、金融和商业运营网络更是他们攻击的主要目标。新千年伊始,黑客便大肆攻击全球知名网站,一度使著名的“CNN”、“yahoo”、“Amazon”、国内的“新浪网”等陷入几个小时的瘫痪,2001年“国际劳动节”期间,更是中美黑客组织的短兵相接,.CN的网站或者被修改首页、或者被攻瘫痪达一千多个。
(2)管理的缺陷
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于管理。据IT界企业团体的调查,美国90%的IT企业对黑客攻击准备不足.目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。我国的ISP、证券公司及银行也多次被
国内外黑客攻击。但是仍然有许多单位对自己网络的安全问题毫无认识,甚至遭到了黑客攻击都毫不知晓。
(3)软硬件的不足
国外先进国家对信息技术尤其是网络技术实行垄断,目前国内网络建设不论是网络硬件(如路由器、交换机、服务器等),还是系统软件基本上是采用拿来主义,这种将本国的信息系统完全建立在别国产品基础上的国家信息安全是非常危险的,这就对网络安全提出了更深层次的需求。同时,网络技术和软件技术本身就存在着大量漏洞和Bug,缺乏相应的安全机制。
1.3防火墙的缺陷
(1)防火墙难于防内
人们普遍认为:只要设置防火墙守住网络的门户不让黑客进入就万事大吉了。的确, 设置防火墙对保证网络门户的安全很重要,但它并非无坚不摧。防火墙无法防止来自网络内部的攻击,这几年的统计表明,大约75%-80%的蓄意攻击由企业内部工作人员发起,因为他们知道企业的安全策略。
(2)防火墙难于管理和配置,易造成安全漏洞
防火墙的管理及配置相当复杂,要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法集中管理。一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙,管理上有所疏忽是在所难免的。目前国内使用的许多硬件防火墙是国外产品,其复杂界面和英文说明,使许多管理员望而却步。
(3)防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内外提供一致的安全策略
许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份,这样就很难为同一用户在防火墙内外提供一致的安全策略,限制了企业网的物理范围。 (4)防火墙只实现了粗粒度的访问控制
防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其它安全机制(如访问控制)集成使用,这样,企业必须为内部的身份验证和访问控制管理维护单独的数据库。
1.4入侵检测(IDS)的必要性
目前,有多种方法可以检测到网络入侵行为,但是几乎所有这些方法都要使用日志文件或跟踪文件。但是,这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来,则入侵行为很难检测。目前,针对大多数企业网络存在外部入侵、恶意攻击、信息泄漏、资源滥用等现状,入侵检测技术是防火墙技术合理而有效的补充,可以弥补防火墙的不足,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
二、入侵检测系统的基本原理
2.1入侵检测(IDS)的概念
入侵检测系统是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它易管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
入侵检测的第一步是信息收集,采集内容和对象为系统、网络、数据及用户活动的状态和行为。采集信息时需要在计算机网络系统中的不同网段和不同主机采集。
IDS主要执行如下任务:
1.监视、分析用户及系统活动。
2.系统构造和弱点的审计。
3.识别反映已知进攻的活动模式并向相关人士报警。
4.异常行为模式的统计分析。
5.评估重要系统和数据文件的完整性。
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2.2 入侵检测(IDS)的分类
入侵检测通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应,可按照其采用的技术及系统所检测的对象进行分类。
一般来讲,入侵检测系统采用如下两项技术:
一、异常检测技术。假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
二、模式检测技术。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。模式发现的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击无能为力。
入侵检测系统按其输入数据的来源来看,可以分为3类:
1、基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
2、基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
3、采用上述两种数据来源的分布式入侵检测系统; 能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,由多个部件组成。
前两类入侵检测系统虽然能够在某些方面有很好的效果,但从总体来看都各有不足,孤立地去评估都是不可取的。分布式入侵检测系统则同时具有这两方面的技术,可以互相补充不足,达到真正全面检测和防护的作用。黒盾-网络入侵检测系统(HD-NIDS)正是这样一种分布式入侵检测系统。
三、黑盾-网络入侵检测系统(HD-NIDS)
3.1黑盾-网络入侵检测系统(HD-NIDS)概述
黑盾-网络入侵检测系统(HD-NIDS)是福建省海峡信息技术有限公司自行研制开发的网络入侵检测系统。HD-NIDS是采用国际上先进的分布式入侵检测理论构架的高智能分布式
入侵检测系统。其强有力的分布式引擎分散在每一个子网的旁路,全天候24小时监视各个子网络的通讯情况,及时捕获入侵和攻击行为,并予以报警、记录及实时响应。HD-NIDS代表着最新一代的网络安全技术,不仅具有完成基本的入侵侦测能力,更拥有国际上最先进的反IDS欺骗技术和反IDS flood技术,可以成功的将种种变形和欺骗一一捕获。
3.2 HD-NIDS体系结构
HD-NIDS具有多层体系结构,由Agent、Console和Manager三部分组成。
Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器。安装时应与企业的网络结构和安全策略相结合。
Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。
Manager对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台。
当HD-NIDS发现攻击时,可采取的响应措施包括:
z把事件记入日志
z阻断连接
z加强防火墙
z创建一个报告
z通过多种报警方式通知系统管理员
z记录连接
z将事件通知主机入侵检测管理器和控制台
3.3 HD-NIDS的实时攻击检测
HD-NIDS可实时检测2200种以上常见的和新的攻击,而不会对网络和应用程序性能产生影响。它采用了先进的网络侦测技术,可以自动发现网络主机和应用程序,然后动态地应用相应的攻击特征,从而能简化安装和配置过程。HD-NIDS的攻击特征定义向导可使管理员创建定制攻击特征,保护企业内部的应用程序和环境,并减少乃至杜绝系统漏洞。用户可以从IP,端口,包方向,协议,内容过滤,响应类型等方面自定义制定规则,实时创建和测试攻击特征。而且,通过海峡信息所提供的智能化在线更新服务,管理员能确保HD-NIDS 具有最新的攻击特征库,并可在不关闭应用程序条件下部署新的攻击特征。其中主要的攻击包括:
1.检测多种DoS攻击
DoS(拒绝服务攻击) 包括很多不同的方式。在这些方式中,三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。最常见的就是服务失效方式,通过DoS攻击可以使一个服务器停止服务,从而造成巨大的损失。
HD-NIDS能够检测包括IGMP攻击,TearDrop, LAND, WinNuke等多种DoS攻击。从而使被托管的服务器处于安全的保护之中。HD-NIDS一旦发现有DoS攻击,立即响应,进行报警、阻断并记录。
2.检测多种DDoS攻击
Yahoo、CNN等著名网站被黑客攻击使得防黑客成了大家关注的热点。DDoS(分布式拒绝服务)是本次攻击的主要手段。DDoS 攻击的原理是入侵者控制了一些节点,将它们设计成控制点,通过这些控制点控制了Internet大量的主机,将它们设计成攻击点,攻击点中装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标,隐藏了入侵者的具体位置。
HD-NIDS能够检测包括TFN,Trin00,shaft synflood等多种DDoS工具的攻击。而这些攻击都是进行DDoS攻击的主要工具。
3.检测保护子网中是否存在后门和木马程序
后门和木马程序如果存在于网络中,会造成严重的后果,有些后门程序导致管理员的密码被盗取,因此检测保护子网中是否存在后门和木马程序成为入侵检测的一个重要的组成部分。
HD-NIDS能够检测网络中是否存在流行的BO,BO2000,NetSphere, DeepThroat,WinCrash,BackConstruction等多种后门或木马程序。
4.检测多种针对Finger服务的攻击
Finger服务于查询用户的信息,包括网上成员的真实姓名、用户名、最近的登录时间、地点等,也可以用来显示当前登录在机器上的所有用户名,这对于入侵者来说是无价之宝,因为它能告诉他在本机上的有效的登录名。
HD-NIDS能够检测针对Finger服务攻击的如Finger Bomb,Finger search,FINGER-ProbeNull等扫描和攻击。
5.检测多种针对FTP服务的攻击
HD-NIDS能够检测针对不同FTP server,包括AIX FTPD,WuFTP,ProFTPD,Serv-U FTPD,NCFTPD,MsFTPD发起的FTP-site-exec, FTP-user-root,Buffer Overflow等多种尝试和
攻击行为。
6.检测基于NetBIOS的攻击
HD-NIDS能够对基于NetBIOS的如NETBIOS-SMB-IPC$access,TBIOS-SMB-ADMIN$access,NETBIOS-SNMP-NT-UserList等多种尝试和攻击行为进行检测。
7.检测缓冲区溢出类型攻击
HD-NIDS能够OVERFLOW-x86-solaris-nlps,OVERFLOW-x86-windows-MailMax,OVERFLOW-x86-linux-ntalkd,OVERFLOW-DNS-sparc等近百种堆栈溢出攻击进行检测。
8.检测基于RPC的攻击
HD-NIDS能够对基于RPC的如portmap-request-amountd,ortmap-request-bootparam,RPC Info Query, portmap-request-ypserv, RPC ttdbserv Solaris Overflow等多种尝试和攻击行为进行检测。
9.检测基于SMTP的攻击
HD-NIDS能够对针对多种SMTP server,包括Sendmail,Exchange Server,Qmail等所发起的SMTP-expn-root,SMTP Relaying Denied等试探和攻击进行检测。
10.检测基于Telnet的攻击
HD-NIDS能针对基于Telnet的包括Attempted SU from wrong group,setld_preload,set ld_library_path, Login Incorrect等多种尝试和攻击。
11.检测网络上传输的病毒和蠕虫
HD-NIDS能在计算机病毒和蠕虫传输到宿主机之前检测出来,包括流行的红色代码、求职信、尼姆达等大量蠕虫和病毒,防患于未然。
12.检测CGI攻击
HD-NIDS能检测出包括针对PHF,NPH, pfdisplay, cgi等已知上百种的有安全隐患的CGI进行的探测和攻击方式。
13.检测针对WEB Server的FrontPage扩展进行的攻击
14.检测针对WEB Server的ColdFusion扩展进行的攻击
15.检测针对 MicroSoft IIS server进行的攻击
HD-NIDS能检测View Source exploit, IIS-exec-srch, IIS-asp-srch等已知的漏洞和弱点的攻击行为。
16.检测利用ICMP进行的扫描和攻击
HD-NIDS能对利用这种方式进行的网络拓扑探测所产生的PING-ICMP Destination
Unreachable,PING-ICMP Time Exceeded等ICMP包进行检测。
17.检测利用Traceroute对网络的探测
18.检测ActiveX,JaveApplet的传输
HD-NIDS能通过匹配网络包内容,可以检测特定的ActiveX, JaveApplet等程序在网络上的传输。
19 检测对其他可能的网络服务进行的攻击
3.4 HD-NIDS的技术特点
★强大的入侵检测阻断功能。HD-NIDS突破传统技术,采用独创的Spear技术在系统中内置多种阻断方式,对符合系统预定义的黑客规则的数据包可以进行阻断,并
可以彻底将某个连接或某台机器彻底阻断(并不仅限于TCP,而是所有的网络连接
均阻断),这是一般入侵检测系统不具备的。同时,HD-NIDS可以彻底阻断红色代
码、尼姆达等蠕虫病毒的入侵,确保网络不受网络蠕虫病毒的侵害。
★ 引擎多路监听全面监控。HD-NIDS采用独特的Spider技术,专门针对大型网络中的多网络划分状况。HD-NIDS 引擎最多可以同时支持十路监听,进行网络同步检测。管理员可以方便地实时监控信息网络的多个网段的网络情况,为大型信息网络提供易于部署的网络安全保护方案。
★ 页面重组技术。HD-NIDS可以将信息网络中Telnet、Http、Ftp、Pop3、Smtp或其它任意用户定义的服务的通讯过程和内容完整的记录下来,并进行连接回放,实现页面重组。管理员可以很直观地看到网络中任何人的信件内容(包括附件)、Telnet或者Ftp用户的口令、都去过哪些网站和看过哪些内容(包括文字和图片的再现)。
★ 独一无二的交换机监听模块。传统IDS如果要工作于交换机环境中,就必须交换机支持端口镜像或配备有侦听口,黑盾IDS提供了目前独一无二的交换机监听模块,在不必改动交换机本身的配置的前提下,接在交换机普通端口上就可以监听交换机的其它一个或多个端口上的一个或多个IP的所有数据流量,而不影响被监听的主机的正常网络使用。这个革命性模块将大大拓展IDS的应用环境。
★ 状态检测。在TCP/IP网络中,数据是以包的形式传输的,每个包的大小有限。因此,当完整的数据超过一个数据包的大小时,就会被拆成若干个包进行传输的。在入侵检测过程中,以单个数据包进行分析会导致更多的误报和漏报。HD-NIDS是基
于完整状态对网络数据传输进行入侵检测,实现IP碎片重组,不仅可以避免网络中常见的IP碎片攻击,还可以提高入侵检测的精确度,避免误报和漏报。
★ 高性能日志审计。HD-NIDS采用先进的日志审计技术,可以高速记录网络中的异常信息,性能达传统数据库记录模式的10倍以上。网络管理员通过它的帮助可以更好地规划网络安全策略,加强网络控制。
★ 中心监控实现集中管理。网络管理员可以通过中心监控台监视和控制各个网络,综合分析各个引擎的告警信息和状态信息,形成统一的分析报表,并可配置并分发各引擎的黑客规则库。
★ 可扩展的管理结构。HD-NIDS采用先进的三层结构(Console、Manager、Agent),将信息数据收集、实时报表查看、管理网络引擎等模块分开,具有极好的扩展性,同时也提高了安全性。
★ 智能报警系统。HD-NIDS通过入侵行为分析,判断出黑客攻击手段。当网络中发生入侵事件时,系统会立即在监控台上作出反应。HD-NIDS可以提供多种报警方式,包括:声音报警、E-mail报警、SNMP TRAP报警、NETBIOS报警,并提供了一个防火墙联动AGENT,可以与世界上应用广泛的几种防火墙进行联动,如CISCO防火墙、CHECKPOINT防火墙及黑盾防火墙等。多种报警方式可以使网络管理员不在监控台前时也能及时发现网络入侵事件。
★ “影”探测技术。HD-NIDS先进的“影”探测技术可以对整个网络进行无感知动态检测,实时监控。管理员可以不惊动黑客的情况将其抓获。
★ 网络Profiler 自动发掘信息。HD-NIDS通过自动发现网络主机、应用及自动实施攻击特征,提供无缝的安装和配置功能。同时允许在检测不同网段的数据包时针对不同的系统采用不同的安全规则,从而大大提高检测效率和优化了性能。
★ 网络访问控制。管理员可以通过HD-NIDS轻松地进行URL限制、字匹配扫描等方式定义访问网络特定资源的用户权限,加强网络访问控制。
★ 可靠的Shield技术。入侵检测系统的存在对黑客造成极大的威胁,因此,攻击网络系统中的入侵检测系统是黑客进行网络攻击的前提。HD-NIDS利用独创的shield技术,极大提高自身的安全性,可以有效防御各种针对网络入侵检测系统的黒客攻击,避免误报和漏报。
★ 丰富的图表输出功能。HD-NIDS提供了柱状图、饼状图、报表等多种形式的攻击统计图表,管理员可以十分方便地分析网络上发生的各种事件。
★ 基于WEB的特征更新和自动下载。HD-NIDS对攻击响应的配置非常方便。管理员可以直接从WEB站点下载升级程序和用户定义的攻击特征,并进行配置。
★ 黑客反跟踪技术。在系统中,可以对TCP/IP欺骗信号进行核查。通常状态下,攻击者使用假IP地址有可能会被注意到,因为在建立连接时往往要检验IP地址以
判断通讯双方是否有信任关系。黑客的做法是截获一个已经获得信任的连接,盗用
其合法IP地址,同通信另一方取得联系。HD-NIDS处理利用TCP/IP欺骗进行攻击
的做法不是进行简单的域名检查,而是将攻击信号同保留的IP和MAC地址对进行
比较,并且可以对攻击者在进行序列号猜测过程中发生的极其微小的错误也能检测
到。这项功能是一般的网络入侵检测系统不具备的。
★ 被动网络检测。HD-NIDS可以把在本系统中安装的网卡置于混杂模式(Promiscuous),实时检测各种攻击。由于它采用数据缓冲技术而不是采用存储/转
发技术,因此不会影响网络或应用的性能。
★ 用户自定义攻击定义(特征)。攻击特征可以检测并防止黑客通过命令尝试来探测或挖掘已知系统和应用的漏洞。同时HD-NIDS采用灵活、方便的自定义攻击特征
技术,这样管理员可以根据企业的资源和应用情况制定相应的攻击特征。因此可以
保护企业特定的资源和应用。
★ 透明工作方式。系统的接入非常简单方便,采用透明工作方式,不需改变现有网络拓扑结构,只需根据网络的物理结构将它连接到交换机的映射口或共享式Hub上
即可,对网络通信毫无影响。
★ 操作简单的全中文图形管理界面。黒盾网络入侵检测系统采取全中文图形管理界面,智能化程度高,操作极为简单,易于掌握。系统可以自动处理网络中各种异
常情况,彻底解放网络管理人员。
四、黑盾网络入侵检测系统功能模块简介
黑盾-网络入侵检测系统(HD-NIDS)不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制定提供依据。更为重要的一点是它属于一种动态安全技术(主动防御)范畴,是一种管理方便、配置简单的网络防御技术,可以使非专业人员非常容易地掌握操作技巧,确保网络安全。而且,黒盾-网络入侵检测系
统(HD-NIDS)还可以针对网络入侵的威胁、系统构造和安全的动态需求而提升技术水准和版本升级。黒盾-网络入侵检测系统(HD-NIDS)在发现入侵后,会及时作出响应并带有自动预警机制,包括切断网络连接、记录事件和网络灾害预警与报警等。黑盾-网络入侵检测系统(HD-NIDS)主要包括以下功能模块:
4.1网络实时检测功能
4.1.1网络流量
包含MAC->MAC的最近前10名的流量柱状显示;
包含IP->IP的最近前10名的流量状显示;
纵坐标表示对应MAC->MAC(IP->IP)的包的个数,是动态显示坐标值的并且是动态按高低排列,这样的图表直观,可以让网管人员对各个IP地址的使用流量一目了然,一旦发现异常情况可以及时响应,分析,并解决。
如果不同的MAC->MAC(IP->IP)的包数相差过大,用户可点击重新记时按钮。
横坐标对应的MAC(IP)地址对应下面小分块的颜色显示的地址;用户可将鼠标移到要看的柱状体上,在柱体上显示此MAC->MAC(IP->IP) 对应的包流量;
4.1.2协议流量
包含应用层协议流量的八种协议(DNS、 SMTP、POP3、HTTP、FTP、NETBIOS、TELNET、
OTHERS)的流量柱状显示;包含不同协议类型的流量(TCP、UDP、ICMP)线性图表显示。
对于应用层协议流量功能跟上面的一样,它也进行排序,对应的协议挂在柱体下面;不同协议类型的流量曲线显示最近的情况,从右往左,最右的为最新的流量。下方的编辑框分别显示对应的协议类型的最高流量,当前流量,平均流量,坐标值是动态显示的最高流量。用户可点击重新记时按钮。
4.1.3用户流量
显示在这个网络中的前10名流量;其它功能及其使用与网络流量的功能相同。
4.1.4包长度分布
显示不同包长度(20-64、65-127、128-255、256-511、512-1023、1024-1518)流量分布,功能及其使用跟应用层协议的相同。
4.2内容过滤功能
系统预提供几个模版,用户能够根据自定义的关键字进行告警、阻断诸如网页、FTP 等应用中出现的明文编码。用户可以添加自己定义的模版。
4.3 MAC-IP绑定
根据预定义好的MAC-IP对应列表,发现非法使用别人IP的用户,并可以选择加以阻断。根据用户环境的不同,提供了全匹配和部分匹配两种绑定模式,并可在安装时自动生成当前网络MAC-IP对应表,方便管理员使用。
4.4页面重组功能
黒盾-网络入侵检测系统(HD-NIDS)2.0可以将信息网络中的TELNET、FTP、HTTP、POP3、SMTP或其它用户定义的任意服务的通讯过程记录下来,并将所有数据内容进行回放,在监控台实现页面重组。
4.5 引擎多路监听全面监控
在大型网络中将网络划分为多个网段是相当常见的。HD-NIDS利用独特的Spider技术,专门针对大型网络中的多网络划分状况。HD-NIDS 引擎最多可以同时支持十路监听,进行网络同步检测。管理员可以方便地实时监控信息网络的多个网段的网络情况,为大型信息网络提供易于部署的网络安全保护方案。。简单、方便的图形管理方式令网络管理员的工作变得更加轻松。
4.6定义规则
a)用户可以自定义从IP,端口,包方向,协议,内容过滤,响应类型等方面制定规则。
b)系统缺省就提供了上千条最新的黑客规则,并可以根据新黑客行为的出现,不断地对
系统进行规则升级。用户可以对每条规则进行编辑,并可决定是否使用之。
c)系统提供自动升级功能,用户自定义时间来使NIDS进行升级。
4.6.1 自动扫描网络状态
黑盾NIDS可以自动扫描局域网主机信息,并将得到的信息应用到NIDS引擎中,这样可以自动对不同的系统采取不同的安全防护策略,防止黑客的无效攻击,智能高效地实现一个安全网络。
4.7阻断功能
a)对符合系统预定义的黑客规则的数据包可以进行阻断;
b)对符合用户定义的黑客规则的数据包可以进行阻断;
c)对某个占网络流量过大的用户可以指定进行阻断;
d)对不符合MAC-IP绑定的数据包可以进行阻断;
e)系统内置多种阻断方式,可以彻底将某个连接或某台机器彻底阻断(并不仅限于TCP,
而是所有的网络连接均阻断);
f)可以联动各种网络设备进行阻断,如:Cicso Pix防火墙、CheckPoint防火墙、黑盾
防火墙和所有支持OPSEC体系的网络设备。
4.8 Log查询功能
a)可以使用MS SQL Server做为存放log的数据库,并提供非常详尽的log查询。
b)如果没有安装过数据库可以使用文本文件来存放log,,并提供非常详尽的log查询。
4.9查询模块
黑盾-网络入侵检测系统(HD-NIDS)记录数据包有两种版本,一种是基于数据库模块查
询;一种是基于文件存储查询。
4.9.1数据库查询模块说明书
黑盾-网络入侵检测系统的网络包查询模块是基于大型的SQL Server数据库工具,能支持无限大的数据量,把网络包的源目标IP地址,源目标MAC地址,规则名称,时间,攻击次数,协议,规则描述,包大小等信息,将攻击包比较详细的记录了下来。
在记录显示方面,也充分考虑了节约内存和界面美观,将查询的记录结果集和显示出来的记录进行实时交换,节约了内存,提高了性能,克服了传统方式严重的内存不足。能相当详细地显示包记录的基本特征,特别是包的描述,可支持字符长度达上百个字节。
在查询方面,考虑了效率和实用性,支持三年查询范围。可以根据IP,端口,协议,规则,包大小,时间等多种方式进行查询。为了方便用户操作,在界面左视图集成了所有的规则名称和各月份以十天为单位的树型结构,可以据此进行快捷查询。在菜单上还提供了数据库的维护等功能。查询的记录包数目近乎无限,只由磁盘空间限制。查询结果集多达百万条时只需不到一分钟。且提供了相当友好的界面风格。当磁盘空间不够存储时,IDS系统会自动提示用户清除过期log,如果用户没有处理,IDS系统将自动删除最早的log以释放磁盘空间。
4.9.2 智能化的日志统计
z记录统计的主要功能是对所查询到的记录进行统计,自动归纳出最主要的网络攻击
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
支持集中管理的分布工作模式,能够远程监控。可以对每一个探测器 进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支 持加密 通信和认证。 具备完善的攻击检测能力,如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS 攻击、Telnet 攻击.监视非授权网络传输;监视口令攻击、 扫描攻击、特洛 伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、 监视非授权网络访问等。 9.提供相应硬件设备。 第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能,对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应,阻断攻击行为,实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能,包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪,网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件,包括 控制台报警;记录网络安全事件的详细宿息,并提示系统安全管理员 采取一定的安全措施;实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。 7.
7. 3配置方案 根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上,对入侵检测探测器1和入侵检测探测器2进行控制和管理。 入侵检测探测器与网络的连接方式主要有3钟,第一,与防火墙吊联;第二, 在内网区(或者SSN区)与防火墙之间加装一台集线器,并将其两个接口接入集线器;第三,安装在内网区(或者SSN区)交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑,我们选择了第三种连接方式。 7.4选型建议 本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵 检测系统。 选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足 “蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求,同时该产品还具有以下显著的技术特点: 实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动,在MAC层 收集.分析数据包,因此保证了数据包收集及分析的实时性和完整性。 稳定.高效的网络探测器:网络探测器采用多线程设计,网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行,并在数据处理过程中进行了合理的分类,优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。 灵活的用方式和多网卡支持功能:联想网御IDS N800具有高灵活性接入 的特点,为了检测外部的入侵及对其响应,探测器放在外部网络和内部网络的连接路口(有防火墙时,可放在防火墙的内侧或外侧)。支持100Mbps Full Duplex(200Mbps),为了检测通过网关的所有数据流,入侵探测器使 用三个网络适配器(分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器)和分线器可以放置在基于共享二层网络结构内的,也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器,可灵活的在多种网络环境中根据检测的需求进行部署。 简单.易用的全中文控制台界面:联想网御IDS N800提供了基于浏览器 的控制台界面,操作简单、容易掌握。不需安装特殊的客户端软件,方便用户移动式管理。所有信息全中文显示,例如警报信息、警报的详细描述等,人机界面简洁、亲切,便于使用。
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
网络卫士入侵检测系统 TopSentry 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/a818416315.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印? 1995-2009天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.doczj.com/doc/a818416315.html,
目 录 1 产品概述 (1) 2 产品特点 (1) 3 产品功能 (5) 4 运行环境与标准 (6) 5 典型应用 (8) 5.1 基本的典型应用 (8) 5.2 多级管理部署方式 (8)
1 产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北 京天融信公司基于多年来积累的安全产品研发和实施经验, 集中强大的研发队伍推出具有 完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为, 提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系 形成强大的协防体系,大大增强了用户的整体安全防护强度。 2 产品特点 增强的多重入侵检测技术 ?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实 时关联检测等多种入侵检测技术,大大提高了准确度,减少了漏报、误报现象。 ?采用基于协议分析的误用检测技术,实时跟踪各种系统、软件漏洞,并及时更新 事件库,可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型, 用户还可以根据实际网络环境适 当调整相关参数,更加准确地检测到行为异常攻击。并且,基于内置的强大协议 解码器,网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。 ?内置了遵循 RFC 规范, 并基于对协议在实践中的具体执行过程的充分理解而建立 的协议解码器。通过详尽、细粒度的应用协议分析技术,提高了检测的准确性。 ?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的, 因为攻击行为 包含在多个请求中。加入状态特性分析,即不仅仅检测单一的连接请求或响应, 而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS能够维护完整的 会话列表,并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态, 在有效地防止 IDS 规避攻击的同时,不仅可以减少误报和漏报,而且可以大大提 高检测性能。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/a818416315.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
■版权声明绿盟威胁分析系统产品白皮书 【绿盟科技】 ■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开 ■版本编号V1.0 ■日期2013-10-10 ■撰写人唐伽佳■批准人段小华 ?2016绿盟科技
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳
目录 一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)
插图索引 图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案......................................... 错误!未定义书签。
一. 前言 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也带来了攻击方式的变化。 从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点: 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。 此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道:“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。 高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
入侵检测安全解决方案 摘要: 随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。 关键词: 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言: 随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。 正文: 该网络的拓扑结构分析 从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。