JUMP网络入侵检测系统技术白皮书v2.8.doc
《JUMP网络入侵检测系统技术白皮书v2.8.doc》由会员分享,可在线阅读,更多相关《JUMP网络入侵检测系统技术白皮书v2.8.doc(13页珍藏版)》请在冰点文库上搜索。
JUMP入侵检测系统(JIDS)
技
术
白
皮
书
西安交大捷普网络科技有限公司
网址:
1.序言
二十一世纪是网络的时代,由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。
计算机网络已经成为国家的经济基础和命脉。
计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大。
众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。
网络已经成为社会和经济发展的强大动力,其地位越来越重要。
入侵监测系统作为网络安全的一个很重要的方面,越来越受到人们的重视。
入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
它可以防止或减轻上述的网络威胁。
2.产品概述
Jump®入侵检测系统是一款专门针对黑客攻击行为而研制的网络安全产品。
该产品采用国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。
在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。
本系统采用业内领先的攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
系统具有强大的功能、方便友好的管理机制,是一个拥有完全自主版权、实用性强的安全产品,可广泛应用于金融、教育、政府机关、军队和中小型企业等企事业单位。
3.技术指标及硬件配置
以太网接口
数目
3个
端口速率
10/100M
端口协议
IEEE802.3
物理接口
RJ-45标准
控制台端口
1个,速率为9600bps
存储器
FLASH
32MB
DRAM
128MB至1GB(因探测器平台区别而不同)
并发连接数
100万
工作电源
电压:
220VAC,频率:
50~60Hz,电流:
0.6A
额定功率
40W±10%
工作温度
-10~60℃
环境湿度
10~90%不结露
外形尺寸
1U标准机箱
4.基本功能及特点
4.1.实时检测入侵功能
可以实时地对网络上的攻击进行监测,一旦发现可疑信息,入侵检测可准确显示其数据目标和来源,及时向管理员告警。
4.2.丰富和友好的管理界面
所有的入侵监测系统提供友好的人机界面,使得管理员易于操作和管理整个入侵监测系统。
采用可视的管理、监视、控制和分析操作界面,方便使用。
对于高级用户,更可以自定义告警中心界面,针对告警的不同关心等级或其它策略进行告警分类。
4.3.对报警信息的检索、查询和统计
管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计。
4.4.全新的离线报警方式
除了常规屏幕显示报警信息,系统还可以自动将报警信息传送到管理员的E_mail信箱,并同时提供声音报警。
4.5.多种类型的报表
对管理中心的日志信息可以采用多种形式显示出来,如以表、柱型图、饼图、曲线图、web报表统计等形式显示结果。
更可自定义报表,极大地提高了对于网络安全状况的分析能力。
报表可经由多种途径向管理员呈现(如html,E-mail等),是管理员随时随地能够以最为便捷的方式获知网络状况。
4.6.数据的安全通信
引擎与管理中心之间的数据通信是经过安全加密(SSL协议)和认证的,只有正确安装证书和密钥的控制台,采可与引擎之间进行通信。
自身系统的安全万无一失。
4.7.引擎的实时监测与管理
在管理中心,系统管理员可以实时地获取到引擎的状态信息,并可以对引擎进行启动、停止等管理。
4.8.入侵检测规则的自定义
用户可以自己定义一些入侵检测规则,加入到引擎的规则库中去,更加灵活地进行入侵检测。
4.9.开放式的插件机构
系统检测能力不断增长,包括入侵规则的自动升级和更新。
随时更新的入侵规则能最大的保护用户的网络。
4.10.断开网络功能
Jump入侵检测系统提供断网功能,对于一些恶意的攻击行为,可在系统中设置为阻断,一旦系统检测到相关的攻击行为,可以将此连接从网络中断开,保证网络的安全。
多种断开网络的方式可自由选择,在大型复杂网络中更得心应手。
4.11.详细的安全知识库
可以由管理中心给用户提供关于安全规则及攻击事件的详细信息及针对事件的描述。
不但发现入侵,更能准确应对。
4.12.超强的网络适应能力
数据采集器与探测引擎的关系是一对多的关系,在比较大的网络环境中可以部署多个探测引擎,每个负责一个子网的数据流的实时采集与重组工作,适合与在各种不同拓扑、不同规模的网络环境中使用。
数据采集器与探测引擎采用TCP/IP协议通信,可以跨越路由器、防火墙。
4.13.强大的安全审计回放功能
能够对HTTP,SMTP,POP3,FTP,TELNET等协议根据制定的审计规则进行实时审计,同时可以完全回放报警数据流,使得网络管理员可以实时发现并跟踪,以及保留一个非法访问的数据流。
4.14.丰富的网络监测功能
针对常用的网络工具,特别为用户开发了针对MSN,QQ,Popo以及BT,ftp等多种网络应用的监测。
不但监测入侵,更能对内部网络出现的隐患进行及时排查。
4.15.在线升级
捷普入侵检测系统(JIDS)提供在线升级的能力,用户可以通过我们的网站了解产品动态升级的最新情况,网络管理员可以在管理中心直接进行对其规则库进行升级,使入侵检测系统一直保持最良好的表现。
1
5.总体架构
JUMP入侵检测系统采用分布式、模块化的设计思想,整个系统包括传感器、数据采集器和控制台三个组成部分。
传感器-------传感器以软硬结合的方式实现,针对入侵检测对性能的需求,我们研制了专用的硬件平台(如下图中所示),
其上运行我们自主开发的安全操作系统,这样既保证了优异的性能,又保证了我们平台的安全性;传感器的主要作用是实时、高速地对网络上传输的数据进行采集,完成数据流的重组并发往数据采集器进行审计;基于明文审查的阻断功能也由传感器来完成。
传感器通过旁路的方式部署在用户网络中,不用改变用户网络的拓扑结构,普通上网用户也感觉不到它的存在,对用户网络性能的影响降低到最小。
如果用户的网络规模过大,划分为不同的子网,可以在每个子网中部署一个传感器,负责该子网的数据采集工作。
数据采集器--------数据采集器以软件实现,它在Windows上以后台服务的方式运行,每次用户主机启动都会自动运行该服务。
数据采集器的主要工作是从传感器接收其收集到的入侵检测信息以及审计原始流数据信息,然后将报警信息发送给控制台,如果有入侵检测规则,还要调用相应地审计模块完成数据的还原与审计工作,并也将向控制台发送告警消息。
控制台--------控制台也是以软件实现,提供Windows下的图形化界面,方便用户使用。
它是网络管理员操作系统的人机界面,通过它可以设置各种入侵检测和审计规则,并看到数据采集器发来的告警信息,浏览历史数据,生成各种报表和统计分析数据等。
6.安全策略
6.1.IDS策略
捷普入侵检测系统还内置了标准的IDS模块,针对需要检测的事件提供分类全面的策略集以及具体策略的配置方式和响应方式。
系统策略集按检测范围分为十二大类,其中包含了1400余种入侵规则,包括TCP、UDP、ICMP、IPX、HTTP、FTP、telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、finger、ssl、NETBIOS等协议类型,同时系统还支持规则库的更新,用户可以从捷普公司的主页上下载新的规则库,完全可以抵御当前网络上如BIND版本探测、NMAP_TCP端口扫描、IMAP_用户名探测,TELNET_注册失败、FTP_注册失败、RLOGIN_注册失败,冰河、黑洞、Subseven、Netsphere、BO、NETBUS后门等一些常见的入侵行为。
l最大事件集
l最小事件集
l邮件服务器事件集
l网络行为检测事件集
l其它事件集
l木马检测事件集
l病毒检测事件集
lWindows主机专用事件集
lWeb事件集
lUnix/Linux主机专用事件集
lTelnet事件集
lFTP服务器事件集
除了系统提供的规则库,策略集还可以由用户在衍生的基础上自主调整具体的策略应用,形成用户定义的策略集。
可以根据需要对IP,TCP,UDP,ICMP等协议量身定做自己的检测规则。
同时,针对具体事件的检测策略,系统还提供了灵活的策略编辑方式,确保用户在最短的时间内产生自己所需要的策略,及时的将其应用于实际网络。
6.2.日志管理
捷普入侵检测系统为了方便用户对网络使用情况能有一个准确的掌握,系统提供了日志查询与审计管理功能。
入侵检测日志管理分为三种方式:
审计查询管理、IDS查询管理、系统报表,其中两种查询管理都包括统计和分析两部分,表现形式包括:
饼图、直方图、曲线图、表格等,规则的灵活配置可以最大程度的满足用户要求,完全按照自己需要提取相关信息,避免其他烦杂信息的干扰,提高分析结果的精确性。
查询管理统计部分设置的主要规则包括:
时间范围、源和目的IP、探测器IP、关键词、协议类型等;分析部分设置的规则除了以上的还包括高级规则设置(邮件地址、报警级别、URL地址、关键词信息),譬如关键词信息是对这一数据包中的关键词进行统计,给用户一个直观的关键词出现次数。
IDS查询管理部分包括:
IDS统计分析、IDS查询与浏览两部分。
其对应的主要规则包括:
时间范围、源和目的IP、端口范围、探测器IP、报警事件类型、报警等级等;譬如报警事件类型是对这一捕获数据包中的事件类型进行统计,给用户一个直观的该攻击事件发生次数。
系统报表主要包括系统报表和用户自定义报表两部分,报表表现形式包括:
WEB格式(HTML)、打印格式(PDF、WORD、RTF、TXT)、数据(EXCEL、XML、CSV等)、其它通过开放API的格式。
系统报表包括:
统计简报、管理报表、执行报表、技术报表四大类,规则设置包括:
相对时间和实时时间、检索条件集合(事件类型、源IP、目的IP、报警严重级别),进行实时查询浏览;用户自定义报表简单易用,给最终用户提供了实时按需裁剪报表结果的很大灵活性,用户只需使用下拉框或者其它的用户友好的机制就可以完成这一功能。
其对应的规则包括:
事件类型、探测器IP、报表导出形式、报表时间类型(年度、季度、月、日报表等),是否发送邮件报表等。
其中是否发送邮件报表将按照报表时间类型定期向管理员发送邮件报表,极大的降低了网络管理员的工作强度。
6.3.审计规则设置
目前互联网的用户在浏览网页、收发邮件、传输文件、远程控制等一些列活动时,主要涉及的是HTTP,SMTP,POP3,TELNET,FTP五种协议。
JUMP入侵检测系统针对这五种协议,分别对每种协议的活动和数据进行采集,还原,分析,实时的向网络管理员发出报警消息。
针对每种协议,系统提供了不同的审计规则,如下面结构图所示:
HTTP协议主要的审计规则为时间,IP范围,端口,浏览页面大小,浏览网站的URL,基于内容的关键词以及违反规则的网页回放;有效的防止对非法、不健康等网页的访问。
邮件协议(SMTP,POP3)主要提供的规则有时间,IP范围,端口,邮件大小,附件大小,附件个数,单个附件大小,邮件正文大小,邮件地址,邮件内容关键词,附件内容关键词,附件能否解压,附件有无扩展名,扩展名规则等,对于邮件的附件文件可以直接打开,比如使用WORD可以直接打开附件的内容。
TELNET协议主要提供时间,IP范围,端口,基于浏览,发布信息内容的关键词。
用户可以使用我们提供的回放工具,浏览网络的实际操作内容。
监控内部人员在BBS等工具上的不合理信息发布。
FTP协议主要提供时间,IP范围,端口,扩展名规则,操作命令规则。
它的回放可以使用命令行回放工具,使网络管理员的查看更加接近于实际操作。
从上面的规则可以看到,JUMP入侵检测系统完全支持基于内容的关键词审计,用户可以自主的设置需要的审计的关键词,并结合我们提供的部分关键词集合,对网络中的流量进行审查。
当前的关键词审计中,误报不可避免,因为这是由全文检索本身的技术所限制。
JUMP入侵检测系统提出了关键词组合审计的方法,可以有效的降低误报率。
在管理员设置关键词规则时可以设置该组关键词内部的关系,有“与”,“或”之分,为了更加具体的说明关键词组关系,下面举一个简单的例子:
某重点单位为了防止员工泄漏相关机密,针对相关机密的特征字符,在该组中设置了T-AA,T-BB,T-CC三个关键词,下面就该组在不同关系下的报警情况予以说明:
如果该组内的关键词设为“或”关系,那么在一条网络数据中只要出现了“T-AA,T-BB,T-CC”三者中的一个,入侵检测系统都将做出相应的报警或阻断。
如果该组内的关键词设为“与”关系,那就需要在一条网络数据中同时要存在“T-AA,T-BB,T-CC”三个关键词,入侵检测系统才做出相应的报警或阻断。
上面就是关键词组内部关系的介绍,它们的主要作用就是为了以使基于内容的审计更加精确,减少由于单个关键词匹配产生的误报现象。
6.4.监测规则的设置
在目前网络中,越来越的多的用户将对于网络常用应用给予更多的关注。
针对于此种情况,JUMP入侵检测系统特别为用户开发了对于多种网络常见应用的监控功能。
如针对多种实时通讯(IM)工具(如msn、qq、popo等)、P2P共享工具(如BT)、常用其它应用(如ftp、telnet等)和常用的安全应用(如IP/Mac监测),提供了及时的、丰富的监测功能。
管理员可以通过简单的配置,及时准确地发现网络中常见应用的情况。
更可以通过向导配置,简单有效的进行常见应用的阻断控制。
实时通讯工具的监控,可以有效地提高涉密企业对于IM工具的控制力,大幅度减少由于实时通讯工具造成的泄密事件。
BT,ftp等网络下载的监测,可以及时发现网络异常流量,优化网络性能。
IP/Mac监测,可以依据指定IP/Mac的规则,检测网络中IP盗用的情况。
防止了利用他人IP进行网络活动的可能。
简单,有效地阻断设置,更可以在发现异常应用时以最短的时间进行适当的相应,减少因网络滥用而导致的损失。
7.典型应用
下面是JUMP入侵检测系统的两个典型用例:
7.1.JUMP入侵检测系统典型应用一
图1
图1是部署一台探测引擎的典型网络配置图,适用于用户网络规模不大,只有一个子网的情况,用户所有的主机连在一台交换机上,通过防火墙或路由器接入Internet,只需将探测引擎的监听口结在交换机的监听口上,将通信口随便接入交换机的任一端口;随便选择一台主机,安装控制台端软件,入侵检测系统即可工作,可以审计用户网络中的所有流量。
7.2.JUMP入侵检测系统典型应用二
图2
图2中部署了两台探测引擎,适用于用户网络规模较大,划分为多个子网的情况,一个子网的主机连在一台交换机上,所有的交换机接在路由器上接入Internet。
每一个子网要部署一台探测引擎,具体部署方式同图1,控制台的安装也同图1,一个控制台可以控制多个探测引擎,只要保证它们之间是可以通信的,即可审计所有子网中的所有流量。
升级会员 