《鹰眼网络入侵检测系统技术白皮书》由会员分享,可在线阅读,更多相关《鹰眼网络入侵检测系统技术白皮书(24页珍藏版)》请在金锄头文库上搜索。
1、3OSAN鹰眼网 络入侵检测系统技术白皮书成都三零盛女倍息系统有限公司4 3OSAN MIRMATtON SYS J ISM CO. F LTD1. 公司简介12. 产品概述13. 产品体系结构24. 产品规格35. 产品功能特征36. 产品特色86.1. 高性能的核心抓包机制86.2. 丰富的攻击特征库96.3. 良好的协作联动能力96.4. 抗IDS攻击的事件合并能力96.5. 优化的数据库结构设计106.6. 高可用性的界面设计106.7. 大规模网络下的入侵检测能力106.8. 完备的自身安全性设计116.9. 硬件的高可靠性设计127. 产品典型应用环境137.1. 鹰眼网络入侵检测
2、系统137.2. 鹰眼分布式网络入侵检测系统148. 产品技术指标158.1. 产品硬件规格158.2. 网络支持168.3. 检测效率178.4. 攻击特征178.5. 抗攻击能力178.6. 响应方式188.7.系统稳定性181. 公司简介三O盛安信息系统有限公司是由中国电子科技集团公司第三十研究所控股的成都三O信息系 统工程有限公司(三O信息)与四川三O卫士安全软件(安全软件)有限公司合并组建而成,是专 业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的高科技企业。创建于1965年的中国电子科技集团公司第三十研究所是由国家认定的,唯一以全所力量从事 信息安全和保密
3、通信网络研究及工程建设的专业研究所,建有博士后流动站和国家级的国防科技 保密通信重点实验室。三O盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者,肩负着开拓信息安 全新领域的重任。公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服 务,包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服 务,并能根据不同用户需求提供各类定制产品和服务。目前公司的业务已覆盖了电子政务、电子商 务以及金融、电信、电力、交通、教育、科研院所等领域,客户遍及全国并向海外延伸。公司已在 北京、上海、西藏、兰州等地设立了分公司或办事机构,为用户就近提供方便优质
4、的服务。三O 盛安是国家首批认定的软件企业和高新技术企业。公司严格按照IS09001、CMM质量保证体系管理 软硬件产品的研发、生产、销售以及工程、服务等。公司不仅先后获得了涉密计算机网络设计及施 工定点单位、信息安全服务等方面的资质,而且还是国家计委信息安全专项、科技部国家863信息 安全专项承担单位。公司研发的产品均已通过了各领域信息安全产品测评机构的测评认证。三O盛安高度重视与战略伙伴的合作,先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、 TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。在安全领域我们正与多家著名安全 产品厂商结成联盟,就
5、多层次信息系统安全防护体系的建立进行广泛合作,以满足用户日益增长的 需求。三O盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀,凝聚优秀 的高科技人才群体,为铸造中华民族的信息长城而不懈努力。2. 产品概述随着近年来互联网络的迅速普及,网络的安全问题日益严重,各种网络攻击行为给企业、政府 带来巨大的经济损失,甚至使国家的安全与主权受到威胁,网络信息安全近年来已受到普遍关注。由于攻击技术的不断发展,攻击手段的不断丰富,攻击所带来的危害愈加严重,防范攻击的难 度不断增加,入侵检测产品作为一种高效、准确和智能化的网络攻击检测工具得到了广泛的关注和 认同。它采集信息系统中的网络数据
6、,系统日志,服务状态,资源使用状况等信息,进行综合分析 和比较,判断入侵行为的发生,并采用多种不同手段记录攻击,实时告警,阻断攻击者的进攻,从 而增强用户网络和信息系统的安全。作为国内最早从事信息安全研究的中国电子科技集团公司第三十研究所的下属公司,三零盛安 公司很早就开展了对入侵检测技术的跟踪和研究,并从1999年开始,陆续在国内市场上推出了多 款针对不同应用环境的入侵检测产品,在入侵检测技术和攻击技术的研究和跟踪上也一直处于国内 同行前列。鹰眼网络入侵检测产品系列已经通过各种国家权威机构的测评和认证,包括国家公安部安全检 测中心的测试、国家安全部信息安全产品测评中心、国家保密局、解放军信息
7、安全产品测评中心、 银行等机构,获得了相关的产品资质证书,充分证明了鹰眼产品是稳定、可靠、高效的网络安全产 品。3.产品体系结构鹰眼网络入侵检测系统以操作系统的网络数据零拷贝采集技术为基础,以自主设计的入侵 检测引擎为核心,对网络数据进行特征分析,实时捕获各种攻击行为。产品提供单机和分布式两种 架构,能够完成大规模信息网络中的多点检测,集中管理,中心能够完成数据的二次分析与存储, 并提供多种不同的报警方式,注重互动和协作能力,形成全方位的入侵防御体系。其体系结构图如 下:4. 产品规格鹰眼产品为了满足不同用户的不同需求,按照体系架构和应用环境的不同,可以为用户提供如 下不同规格的产品: 鹰眼网
8、络入侵检测系统NIDS-SNIDS100-S:百兆入侵检测NIDS1000-S:千兆入侵检测 鹰眼分布式网络入侵检测系统NIDS100-DxE:分布式百兆检测引擎NIDS1000-DxE:分布式千兆检测引擎NIDS1000-DxC :分布式入侵检测系统控制中心5. 产品功能特征 强大的入侵检测功能鹰眼网络入侵检测系统提供强大的入侵检测功能,目前可以检测的攻击类型有23大类,共计890余种入侵行为:序规则大类描述号1后门程序攻击检测攻击者试图通过目标系统中的安装的后门程序,控制目标系统,损害系统安 全的行为。2缓冲区溢出攻击检测攻击者通过目标系统的各种应用服务的软件实现中存在的缓冲区溢出漏洞,
9、控制目标系统的攻击行为。3扫描器攻击检测攻击者使用各种扫描器软件,搜索攻击目标并收集目标系统中的系统信息及 安全漏洞的行为。4密码破解攻击检测攻击者使用密码破解工具,猜测目标系统的用户口令,以获取口令的方式进 入系统的攻击行为。5拒绝服务攻击检测攻击者通过抢占目标系统资源阻止合法用户使用系统服务,或使系统崩溃的 行为,与分布式拒绝服务攻击相比较规模较小。6分布式拒绝服务攻击检测攻击者通过网络中的多台被控主机,同时对目标系统发起攻击,抢占目标系 统资源,阻止合法用户使用系统服务或使系统崩溃的行为。7FINGER服务攻击检测攻击者针对UNIX系统或LINUX系统中开放的finger服务,获得目标主
10、机 中的帐户信息,登录时间,登录次数等相关信息的行为。8FTP服务攻击检测攻击者通过目标系统中的ftp服务的安全漏洞实施的各种攻击行为,如用户 口令猜测,使用空用户或超级用户登录,读取或修改一些特殊的系统文件的行为。9TELNET服务攻击检测攻击者通过目标系统中的telnet服务的安全漏洞实施的各种攻击行为,如用 户口令猜测,修改系统环境变量,缓冲区溢出攻击等行为。10RPC服务攻击检测攻击者利用目标系统中的提供的各种远过程调用服务中的安全漏洞实施的 各种攻击行为,如版本试探,缓冲区溢出,强制执行远程命令的行为。11DNS服务攻击检测攻击者通过目标系统中的DNS服务的安全漏洞实施的各种攻击行为
11、,如版 本试探,缓冲区溢出攻击等行为。12邮件服务器攻击检测攻击者针对LINUX系统或UNIX系统中的sendmail邮件服务器的安全漏洞, 发起的攻击行为,如帐号试探,利用内部邮件服务器转发邮件,缓冲区溢出等。13数据库服务器攻击检测攻击者针对WINDOWS系统中使用的SQL SERVER服务器的设计和实现漏 洞发起的各种攻击行为14XWINDOW服务器攻击检测攻击者针对LINUX系统中XWINDOW服务器的安全漏洞发起的各种攻击行 为。15ICMP协议攻击检测攻击者通过各种不同的攻击程序发出的探测目标主机是否存在的ping包以 及针对ICMP协议的安全漏洞发起的攻击行为,如路由信息试探,D
12、OS攻击等。16NETBIOS协议攻击检测攻击者利用netbios协议的安全漏洞实施的各种攻击行为,如获取目标系统 的用户权限,以及访问目标系统共享文件资源,缓冲区溢出攻击等。17TFTP协议攻击检测攻击者利用目标系统中的TFTP服务的安全漏洞实施的各种攻击行为,如越 权访问,缓冲区溢出攻击,强制执行命令等。18CGI类型攻击检测攻击者利用各种WEB服务器中的缺省CGI程序的实现漏洞实施的攻击行 为,如获取系统信息或者访问权限,强制执行shell命令等。19COLDFUSION 类型WEB服务器攻击检测攻击者利用COLDFUSION类型的web服务器的安全漏洞,如未公布的管理 函数,及脚本漏洞
13、等实施的攻击,如得到或设置web服务中的数据源的缺省密码 和用户名,获得非法访问权限,发动DOS攻击等。20FRONTPAGE 类型 WEB 服务器攻击检测攻击者利用FRONTPAGE类型的WEB服务器中存在的安全漏洞发起攻击, 如获得非法访问权限或通过缓冲溢出导致系统崩溃等。21IIS类型WEB服务器攻击检测攻击者利用IIS类型的WEB服务器中的安全漏洞实施的攻击行为,如取得 文件源码,获得访问权限,越权查看文件或目录,及缓冲区溢出等。22其他类型WEB服务器攻击检测攻击者利用目标系统或设备中的WEB服务器(如IOS, NETSCAPE)的安 全漏洞实施的攻击行为,如获取系统信息,获取账户信
14、息,缓冲区溢出攻击等。23其他类型攻击检测攻击者利用一些非主流的协议或设备中存在的安全漏洞实施的攻击行为,如 修改路由表信息,发送路由数据包,测试内部主机的网络拓扑,缓冲区溢出等。 功能强大的搜索引擎面对海量的入侵记录,用户如何才能找到自己关心的内容?鹰眼网络入侵检测系统向用户提供了强大的搜索引擎,丰富的查询搜索方式,这样,用户可以非常方便,快速的按照自己的需要查找 所关心的入侵记录。 实时、全面、丰富的入侵检测分析报告根据入侵检测记录的结果,我们将通过周期性的审计分析,以在线方式为用户提供全面, 详细,丰富的入侵检测分析报告,反映用户在一个周期内受到的攻击类型,严重程度,发生频率, 攻击来源
15、,详细数据等诸多信息。我们更为用户提供了丰富的分析图表,帮助用户随时对自己的网 络安全状况作出正确的评估。 历史记录的统计分析、查询和下载鹰眼网络入侵检测系统在为用户提供实时报告的同时,提供对历史记录的综合统计报告和高级搜索功能,并对提供了历史日志文件记录的高级搜索功能,同时还定期将数据打包,供用户下载。*丑1.1 亡1 - Nk时旦申融ElU”l icm?总I?期PtfT亀m更卷|沖IUlLl 庖 hcqw.if血bMJE鈕錨1杯问三严佛3d文井IBXflb:啊程工比訂&:11755多样化报警和响应方式的策略,选择切断攻击方的所有连接,或通知防火墙,修改过滤规则,切断攻击,从而保护本地主 机的安全。鹰眼网络入侵检测系统具有以下五种报警响
