《冰之眼网络入侵检测系统技术白皮书》由会员分享,可在线阅读,更多相关《冰之眼网络入侵检测系统技术白皮书(23页珍藏版)》请在金锄头文库上搜索。
1、 “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 1 页 共 23页 “冰之眼”网络入侵检测系统 技术白皮书 ICEYE V3.0 文档版本号: 2.0 文档建立时间: 2004 年 3 月 1 日 最后更新时间: 2003 年 8 月 4 日 “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 2 页 共 23页 版权说明 版权所有 1999- 2004,中联绿盟信息技术(北京)有限公司 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属中联绿盟信息技术(北京)有限公司所有,受到
2、有关产权及版权法保护。任何个人、机构未经中联绿盟信息技术(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 商标信息 “冰之眼”、ICEYE、NSFOCUS 均是中联绿盟信息技术(北京)有限公司注册商标,受商标法保护。 获得帮助 ? 安全相关资料可以访问公司网站:http:/。 ? 本产品相关最新信息可以访问网址: http:/ ? 本产品的技术支持可以拨打电话:010- 68437120 ? 产品支持电子邮件地址: 。 公司信息 中联绿盟信息技术(北京)有限公司 公司网站:http:/ 北京总部 地址: 北京市海淀区北洼路 4号益泰大厦 5 层 邮编:100089 电
3、话:010- 68438880 传真:010- 68437328 上海分公司 地址: 上海市南京西路 758 号博爱大厦 24 层 A 座 邮编:200041 电话:021- 62179591/92 传真:021- 62176862 广州分公司 地址:广州市人民中路 555 号美国银行中心 1702 邮编:510180 电话:020- 81301251/52 传真:020- 81301251/52 “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 3 页 共 23页 目录 一、网络入侵检测技术简介.4 1.1 为什么需要网络入侵检测系统.4 1.2 常见的入
4、侵检测技术.4 1.3 新一代的入侵检测技术.5 二、“冰之眼”产品简介.9 2.1 产品概述.9 2.2 产品体系结构.10 三、产品特性.11 3.1 入侵检测能力.11 3.2 入侵管理特性.13 3.3 日志与规则管理.15 3.4 安全可靠的设计.17 四、产品规格与指标.18 4.1 产品规格.18 4.2 规格指标.19 五、典型部署与使用.21 5.1 典型分布式部署.21 5.2 与 Collapsar、防火墙联动.21 5.3 多层分布式.22 六 公司简介.23 “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 4 页 共 23页 一、
5、网络入侵检测技术简介 1.1 为什么需要网络入侵检测系统 今天,越来越多的蠕虫、病毒、木马和黑客成功突破了防火墙的保护,很明显, 我们需要网络入侵检测系统。 绿盟科技冰之眼网络入侵检测系统能够协助您: ? 免除来自数千种蠕虫、病毒、木马和黑客的威胁 ? 免除来自拒绝服务攻击的威胁 ? 免除您的网络因为各种 IMS(实时消息系统)、网络在线游戏导致的企业资源滥用 ? 免除 P2P 应用可能导致的企业重要机密信息泄漏和可能引发的版权相关的法律问题 ? 保障你的电子商务或电子政务系统 24x7 不间断运行 ? 提高企业整体的网络安全水平 ? 降低企业整体的安全费用以及对于网络安全领域人才的需求 1.
6、2 常见的入侵检测技术 IP 碎片重组 (IP Defragmentation) 入侵者将攻击报文拆分成 IP 碎片后发送,试图逃避 NIDS 的侦测。IP 碎片重组将这些碎片重新拼装后分析。由于不同的操作系统采用的重组方式不同,NIDS 必须针对所有的可能进行重组。 TCP 会话跟踪 (TCP Session Track) 向服务器发送一个数据区包含 cmd.exe 的 TCP 报文不会给服务器带来任何危害,但却可能诱使 NIDS 发出一个攻击信息的误报。NIDS 将 TCP 特征检测建立在 TCP 会话的基础上,从而避免了此类误报,并提高了效率。 TCP 流汇聚 (TCP Stream R
7、eassembly) “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 5 页 共 23页 入侵者将 cmd.exe 拆分为 c,m,d,.,e,x,e 七个 TCP 报文后发送,同样可以逃避 NIDS 的检测。TCP 流汇聚能够从多个 TCP 报文中检测出类似攻击行为。 协议分析 (Protocol Analysis) 协议分析分为应用层协议解码与应用层状态跟踪两个部分。在 HTTP 协议的GET 请求报文中,前者将请求拆解为各个域,然后进行相应的模式匹配。后者用于跟踪该请求的状态,从中可以判断出攻击是否成功。协议分析是几乎所有新一代入侵检测技术的基础。深
8、入而细致的协议分析能够极大地提高检测的准确性,降低误报率。 特征检测(模式匹配) (Signature Detection) 将协议解码后的域值与事先精心提取的攻击特征(规则)进行匹配,从中发现潜在的攻击行为。 基于特征 (规则) 的检测是一项传统而成熟的入侵检测技术,提供了很高的准确性与广泛性。 关联分析 (Correlative) 实时的关联分析引擎能够发现基本 NIDS 引擎所不能发现的攻击事件,如口令猜测等,是基本引擎的一个重要的补充。 日志归并 (Merger) 当前入侵检测系统面临的一个重要问题是如何将最有用的攻击信息快速地呈现在管理员面前,尽可能地减少或消除无用的信息。日志归并根
9、据一系列事先制定的策略,将多条告警日志合并为一条,从而极大地减少了告警日志的数量。同时也可在一定程度上缓解 NIDS 遭受 Flood 的可能。 网络流量异常 (Traffic Abnormity) 通过监控网络上流量的变化情况,可以获得当前网络的健康状况。分析长期的历史数据可以判断当前网络是否出现了某种问题。 网络异常流量检测作为一项审计功能是入侵检测系统的一个组成部分。 1.3 新一代的入侵检测技术 协议识别 (Protocol Discover) “冰之眼”网络入侵检测系统技术白皮书 版权所有 中联绿盟信息技术(北京)有限公司 第 6 页 共 23页 协议识别是新一代的网络安全产品的核心
10、技术。今天,安全产品如防火墙,NIDS,NIPS 均是通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议,然后递交给相应的协议分析引擎。但是,事实上,协议与端口是完全无关的两个概念。我们仅仅可以认为某个协议运行在一个相对固定的缺省端口,但是没有任何的法律限制该协议必须绑定在该端口。 ? 标准协议运行在任意端口:HTTP 尽管通常运行在 80 端口,但实际环境中可以运行在任意端口,比如 312 端口。采用协议端口映射表技术的产品需要管理员必须预先知道这一点,通过管理员手动修改映射表来驱动协议分析引擎认识捕获的通往 312 端口的 HTTP 报文。 由于目前的网络具有的复杂性和动态性,管理员往往不可能知道所有的应用实际运行的端口,
