IDS产品技术白皮书.docx
《IDS产品技术白皮书.docx》由会员分享,可在线阅读,更多相关《IDS产品技术白皮书.docx(18页珍藏版)》请在冰点文库上搜索。
IDS产品技术白皮书
IDS产品技术白皮书
UnisIDS技术白皮书
1UnisIDS简介
1.1入侵检测系统概述
1.1.1入侵检测系统分类
不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS,IntrusionDetectionSystem)可以在系统内部定义各种hacking手段,进行实时监控的功能。
如果说防火墙是验证出入者身份的“大门”,那么IDS相当于进行“无人自动监控”的闭路电视设备。
入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。
基于网络的入侵检测系统具有如下特点:
通过分析网络上的数据包进行入侵检测
入侵者难以消除入侵痕迹–监视资料将保存这些信息
可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
扫描–利用各种协议的脆弱点
拒绝服务攻击–利用各种协议的脆弱点
hacking代码规则匹配–识别各种服务命令
可灵活运用为其他用途
检测/防止错误网络活动
分析、监控网络流量
防止机密资料的流失
图1网络入侵检测模型
而基于主机的入侵检测系统则具有以下的特点
具有系统日志或者系统呼叫的功能
可识别入侵成功与否
可以跟踪、监视系统内部行为
检测系统缓冲区溢出
基于主机的入侵检测可以区分为
基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)
基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)
而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析,一旦发现可疑的入侵行为和异常数据包,立即报警并做出相应的响应,使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用,从而最大程度的降低系统安全风险,有效的保护系统的资源和数据。
1.1.2入侵检测系统技术组成因素
如图2所示入侵检测系统的处理过程分为数据采集阶段,数据处理及过滤阶段,入侵分析及检测阶段,报告以及响应阶段等4阶段。
图2入侵检测的技术组成因素
数据采集阶段是数据审核阶段。
入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。
数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。
分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。
这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。
报告及响应阶段针对上一个阶段中进行的判断作出响应。
如果被判断为发生入侵,系统将对其采取相应地响应措施,或者通知管理人员发生入侵以便于采取措施。
最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。
1.1.3入侵检测/响应流程图
图3入侵检测/响应流程图
如上图,网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应,响应的形式可以是多种多样的。
如果一个会话匹配NetworkAgent的规则,则作出相应的入侵响应。
1.2UnisIDS的特点
1.2.1UnisIDS的特点
UnisIDS针对INTERNET或者INTRANET的安全威胁因素,提供各种详尽的检测及响应机制,从而提高整个网络资源的安全性能。
在不影响网络性能的情况下,通过简单的设置来有效地增强系统的安全性。
UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎NetworkAgent和基于主机的入侵检测引擎HostAgent(即将推出)三个模块,用户可根据需要选用相应的模块。
Admin(管理中心)是UnisIDS的管理中心,提供友好的用户界面,通过对配置和策略的管理集中控制引擎的工作,对网络和服务器的状态进行实时监视,并可以生成各种统计报表。
基于MicroSoftWin2000的管理平台
集中管理和配置多个远程的NetworkAgent和HostAgent
存储NetworkAgent和HostAgent发送的数据
接收NetworkAgent和HostAgent发来的实时警报
支持常用DB
提高了报表处理能力(CrystalReport)
支持在线升级
详尽的帮助(支持在线帮助)
NetworkAgent(网络引擎)通过对网络数据包的实时分析得到的,它可以检测各种不同类型的攻击,包括扫描、拒绝服务等。
通过分析网络上的数据包进行入侵检测
入侵者难以消除入侵痕迹–可以用于监视资料
可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
●扫描–利用各种协议的脆弱点
●服务拒绝攻击–利用各种协议的脆弱点
●攻击代码规则匹配–识别各种服务命令
可灵活运用为其它用途
●检测/防止网络错误活动
●分析、监控网络流量
●防止机密资料的流失
多种入侵响应
●向管理中心发警告消息
●向安全管理员发Email
●记录事件日志和整个会话
截断入侵连接
HostAgent(主机引擎)通过对系统资源、进程、日志等的实时监视,发现可疑的入侵行为并做相应的分析和验证,保证系统数据的完整性。
可识别入侵成功与否
可以跟踪、监视系统内部行为
检测系统缓冲区溢出
基于主机的入侵检测可以区分为
●基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)
●基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)
入侵响应
●向管理中心发警告消息
●向安全管理员发Email
●杀死进程、父进程、进程组或进程对话
●锁定用户帐号、终止系统、禁止网络访问
●记录事件日志和整个会话
1)便利性和实用性
UnisIDS软件包对于管理者来说是使用方便、实用且有效的信息安全工具。
它具有如下功能:
⏹提供方便且友好的用户界面
⏹响应方法便于自主选择
⏹识别大范围的地址
⏹监视网络流量
⏹监测各种类型的信息包
⏹提供包含实际攻击内容的日志
⏹通过检测模式的优化来减小网络负担
⏹支持监控和阻塞技术
2)革新性的技术
⏹可以穿越防火墙,通过内建的监视器,通过设置多台代理监视可以实现监控,并控制多个子网内部的活动,而且不影响网络性能。
⏹通过报表可以获取有关网络活动和使用情况的详细报告,可以根据这些信息调整我们的内部网络使用策略。
⏹可以实时监控网络使用情况,检测网络上通过的信息。
⏹可以从设置的每个代理收集资料并进行集中管理,因此也适用于大型网络。
3)安全性提高
UnisIDS软件包通过检测发生在TCP/IP协议上的可能存在的欺骗因素来提高安全性。
UnisIDS软件包为以互联网技术背景的电子商务环境提供完整的安全解决方案。
采用方便全面的方法监视网络,对入侵行为进行、阻塞、报警并提供入侵日志。
UnisIDS主要的用户对象是各个单位的网络安全管理者、各信息安全咨询公司、信息安全法律执行机关、大中型企业、ISP、ICP、教育机构以及政府机构。
UnisIDS软件包可以在不影响网络速度的情况下监视特定的应用会话,对入侵进行检测以及响应。
同时可以在不影响网络性能的情况下配置几台NetworkAgent来各自执行,提供详尽的设置功能,以适应大型网络,。
1.2.2UnisIDS的功能
UnisIDS可以对网络进行监控,并且对入侵作出响应。
⏹对网络使用情况进行监控
⏹检测是否发生入侵,以及违背策略的网络活动
⏹监视并阻塞对有害站点得浏览
⏹邮件监视(可以监视邮件的收件人、发件人和所发送的文件)
⏹可以限制一些网络活动(如Telnet,FTP,HTTP等等)
⏹可以提供详细的监视报告
⏹提供多种入侵响应方式
1)网络监视
UnisIDS基于TCP/IP实现网络监视功能,可以通过定义各种安全策略来实现入侵检测、WEB监视、邮件监视等功能。
⏹监视对一些特定网站的访问
⏹监视使用特定网络协议进行访问的用户活动
⏹监视包含特定站点和关键字的邮件信息
⏹监视网络活动,检测是否存在攻击行为(主要针对拒绝服务攻击)
⏹监视网络上的入侵活动
2)入侵检测
UnisIDS可以由定义的入侵模式检测数百种类型的入侵。
入侵分为如下四种。
⏹通过详尽的入侵检测引擎,检测网络协议攻击
⏹在目前的产品中提供最多种类的拒绝服务检测
⏹可以改变用户权限,在超级用户模式下检测对服务器的任意操作
⏹用户可以启动多条入侵检测功能来检测特定用户访问服务器、访问特定服务器以及使用特定服务的情况。
另外也可以这些功能的基础上,可以按照时间段添加特定安全策略。
3)入侵响应
UnisIDS对违反定义的安全策略的各种活动或者入侵行为以各种方式进行响应。
下面列出了各种入侵响应方式,可以根据需要组合使用。
⏹终止与入侵相关的会话
⏹以E-mail形式发送警报
⏹在NT事件日志上保存警报日志
⏹在数据库中保存关于入侵的信息
4)入侵截断
UnisIDS网络入侵检测系统可截断特定用户对特定服务器的方位或者使用特定服务。
可以截断的服务如下:
⏹与E-Mail相关的服务(POP,IMAPandSMTP)
⏹WebBrowsing(HTTP)
⏹News(NNTP)
⏹Telnet
⏹FTP
⏹NFS
⏹其它所有TCP服务
5)WEB监视
UnisIDS入侵检测系统可以阻塞对有害网站的访问,也可以根据用户指定来阻塞对一些特定网站的访问。
管理人员可以通过WEB监视器来检查对WEB网站的访问情况。
对于WEB监视器,可以应用如下规则:
⏹特定用户对所有网站的访问
⏹所有客户对特定网站的访问
⏹特定客户对指定的一组WEB的访问情况
⏹一组特定用户对指定WEB的访问情况
6)日志
UnisIDS入侵检测系统根据协议提供有关网络活动和使用情况的分析报告。
包括:
⏹产生对所有网络活动的总结报告
⏹通过网络监视器产生网络使用情况报告
⏹通过入侵检测系统报告所有违背安全规则的事件
⏹产生和WEB使用情况有关的日志报告
⏹报告各类协议的使用情况
⏹报告NetworkAgent的设置情况。
1.2.3UnisIDS各种功能的运用概况
UnisIDS网络入侵检测系统各种功能的运用如下表
区分
功能
运用步骤
Network
Agent
1.收集数据包信息
2.Log存储
(1.MDB2.日志文件)
3.运用系统入侵检测规则
4.运用用户定义检测规则
5.入侵响应
1.确认网络的物理连接情况
2.确认NetworkAgent的设置
情况
3.确认服务后台程序执行与否
4.NetworkAgent启动/停止功
能
5.添加NetworkAgent及变更
相关信息
Admin
1.提供用户界面
2.配置编辑器
3.策略编辑器
4.数据备份
1.确定网络入侵检测策略
(安全启动,备份,维护及运用)
2.是否为Admin运行机制
3.全局环境设置
4.确认Admin的设置及相关服
务启动与否
5.添加管理者及用户
6.运用NetworkAgent软件包分析网络使用情况,保护网络安全。
表1UnisIDS软件包的功能和运用步骤
2IDS的使用方案
2.1系统要求
UnisIDS软件包必须满足如下系统要求,用户才能正确使用UnisIDS。
区分
要求事项
位置
入侵系统位于网络间的边界处
入侵检测系统位于物理上安全的位置。
系
统
要
求
NetworkAgent
-CPU:
PentiumIII733以上
-内存:
512MB以上
-硬盘:
20GB以上
-标准网卡2个
-操作系统:
Windows2000
Admin
-CPU:
PentiumIII500
-内存:
256MB以上
-硬盘:
40GB以上
-标准网卡1个
-操作系统:
Windows2000
表2UnisIDS系统要求
2.2网络环境
图4UnisIDS的典型应用环境
上面是典型的UnisIDS应用环境拓扑结构图,说明了UnisIDS软件包在网络上设置的位置,以便于理解本产品在网络上所要执行的功能。
在该网络系统中安装了UnisIDS入侵检测系统的Admin和NetworkAgent模块,其中Admin通过hub与NetworkAgent相连,对NetworkAgent进行配置和管理;NetworkAgent安装在网络的入口处:
防火墙的内部口和中立区入口,可以实时监视该网络系统和Internet间传输的数据包,检测来自Internet上对内部网和中立区服务器的异常行为和攻击,包括当前较为流行的IISUnicode漏洞攻击、BIND缓冲区溢出攻击、DOS攻击等,并做出相应的响应,报警、截断并记录入侵行为。
如果在内部各子网的入口安装NetworkAgent模块,则可以监视内部网的活动,有效的发现来自内部网的攻击。
UnisIDS软件包的管理者接口部分都位于Admin中。
从NetworkAgent软件包不能访问Admin。
对NetworkAgent中的环境参数的设置和变更在Admin中集中进行,而在NetworkAgent按照Admin中进行的设置的运行。
在NetworkAgent中采集的监视数据和保存的违反安全规则的监视数据,不能直接在NetworkAgent查询或者输出。
NetworkAgent中保存的这些数据只有传送到Admin之后,才可以通过Admin的接口查询或者输出。
2.3UnisIDS软件包的功能和设置对安全产生的影响
正确设置UnisIDS软件包并添加相应管理者,可以提供监控网络使用情况、入侵检测,以及违背策略的活动的检测、WEB检测及截断有害站点(情报通信伦理委员会基准)、MAIL监控(接收者,发信者,参考附件文件检索)、针对特定协议(服务)相关的网络活动的响应、防止网络上的不必要的活动(Telnet,FTP,HTTP等等)等功能和详尽的报表功能和多种入侵响应方式。
按各种功能分类UnisIDS网络入侵系统的运用如下表
区分
功能
运用步骤
Network
Agent
1.收集数据包信息
2.Log保存
(1.MDB2.日志文件)
3.运用入侵检测规则
4.运用用户定义入侵检测规则
5.入侵响应
1)确认网络的物理连接
2)确认NetworkAgent的设置
3)确认后台服务执行与否NetworkAgent启动/停止功能
4)NetworkAgent添加及变更相应信息
Admin
1.提供用户界面
2.配置编辑器
3.策略编辑器
4.数据备份
1)指定网络入侵检测策略
(安全的启动,备份,维护及运用)
2)确认Admin启动机制
3)全局环境设置
4)确认Admin的设置以及相关服务启动与否
5)添加管理者以及用户
6)运用
表3UnisIDSt软件包的功能和运用步骤
安装时可以按照UnisIDS软件包的作用和所要执行的功能来决定安装NetworkAgent还是Admin。
3IDS比较
以下是几种常见的入侵检测系统的比较。
SessionWall
ISSRealSecure
UnisIDS
备 注
协议
TCP/IP上的重要协议
TCP/IP上的重要协议
TCP/IP上的重要协议
协议用户定 义
可以添加端口号
可添加端口号有限
可以添加端口,可以定义用户规则
实施监控
TCP上的重要协议
不可以
TCP上的重要协议
Web数据重现
按照连接单位重现
极其少
可重现所有会话及入侵当时日志
数据重现
按照连接单位重现
不可以
综合显示所建立的连接
多个连接组成一页
资料保存方式(日志文件)
针对每个连接生成文件(保存效率不高)
极其有限
把多个连接生成为一个文件(保存效率高)
网络流量统计
按照服务器、客户端为单位表现TCP/IP上的重要协议
不可以
按照时间段、服务器、客户端为单位表现TCP/IP上的所有协议
入侵检测类型
100余种
400余种
1200余种
比起入侵检测类型,当前的入侵类型更为重要
规则定义方式
由UI定义,样式匹配
由开发者自己定义(用户自己不可能定义入侵样式)
用户可对各个协议进行定义
可以定义当前重要的入侵类型
用户规则定义
用户可对各个协议进行定义
极其有限
可以针对各种协议进行指定
可以指定当前重要的入侵检测类型
区分网络入侵重要度
不可以
可以(分为3个阶段)
可以(分为3个阶段)
需要区分入侵检测和单纯信息
入侵响应方式
截断,报警
截断,报警
截断,报警
入侵截断和报警是必须的
入侵报警方法
E-mail、Fax
E-mail
E-mail
入侵检测库
变更
下载之后运用变更
极其有限
下载入侵检测规则之后运用变更内容
可以保持最新入侵检测规则
入侵检测保存方式(保存日志)
可以以单一的记录保存,因此效率较高可以检索数据库
以多个记录组成,因此用户不能自己使用数据库
以单一记录保存,因此效率较高,可以按照需要检索数据库
资料保存方式(保存日志)
在线升级
可以(只有规则)
可以(只有规则)
可以(规则,产品多种)
规则及产品联机帮助和在线升级
集成管理
不支持
只对相同产品(NIDS)
所有产品的集中管理(NIDS,HIDS等)
支持常用DB
可以
可以
可以
可以使用常用DB而提高移植性
吞吐量
10MPS
60MPS
80MPS以上(支持GB)
表4几种常见IDS比较
4影响UnisIDS的一些因素
而影响UnisIDS软件包性能的因素,经过我们的实地测试和理论分析,有如下一些重要因素。
4.1CPU数量
由于UnisIDS需要实时处理大量数据,因此CPU使用量较大。
并且同时CPU个数也影响软件包的处理量。
4.2CPU速度
CPU的性能与UnisIDS性能有很大关系。
下表是经我们测试的一些数据。
硬件
适中(丢包率:
0.01%,
CPU:
70%)
最大(丢包率:
1%,
CPU:
100%)
PentiumIIIXeon550MHz,4CPU
100Mbps
150Mbps
PentiumIII733MHz,2CPU
70Mbps
90Mbps
PentiumIIIXeon700MHz,2CPU
50Mbps
60Mbps
表5CPU与UnisIDS性能
4.3网卡
由于网卡的硬件和驱动程序的不同,将影响到数据包的丢失率。
尤其是在大流量环境中。
这并不是说NIC本身性能的差别,而是针对UnisIDS的体系结构各种网卡显示的性能各不相同。
目前测试的结果,在快速以太网(100Mbps)环境中,使用Intel8255X主芯片的网卡显示出较好的性能。
4.4前端总线速率
前端总线(FSB,FrontSideBus)速率是影响内存和主板性能的重要因素。
由于UnisIDS需要处理大量数据,因此内存访问量将很频繁,因此增加内存将有助于数据的处理。
另外我们还发现,CPU缓存越快越好,但当其超过512K时其差别甚微。
4.5硬盘I/O速率
该指标将影响到内存页面交换(Memorypaggingswapping)和记录日志数据(Logdata)的性能。
升级会员 