IDS产品技术白皮书

浪潮网泰NS0410技术白皮书-1-浪潮网泰NS0410入侵检测系统技术白皮书浪潮电子信息产业股份有限公司2004年1月浪潮网泰NS0410技术白皮书-2-目录1.前言.....................................................................................................................................................32.浪潮网泰NS0410入侵检测系统特点..................................................................................................43.浪潮网泰NS0410入侵检测系统..........................................................................................................53.1网络入侵检测系统的必要性............................................................................................................53.2浪潮网泰NS0410入侵检测产品特点.............................................................................................63.3浪潮网泰NS0410入侵检测产品功能.............................................................................................73.4浪潮网泰NS0410入侵检测系统工作机制.....................................................................................83.5浪潮网泰NS0410网络入侵检测系统产品构架...........................................................................103.6浪潮网泰NS0410网络入侵检测系统部署...................................................................................113.7浪潮网泰NS0410入侵检测系统管理平台的部署.......................................................................143.8产品规格和关键性能指标..............................................................................................................154.应用案例...............................................................................................................................................184.1企业网应用案例..............................................................................................................................184.2电信IDC网络应用案例.................................................................................................................19浪潮网泰NS0410技术白皮书-3-1.前言在面向21世纪的开放信息环境中，资源共享与网络服务在给我们带来便利与效率的同时，也使信息系统面临的安全风险大大增加。据统计，全球约20秒钟就有一次计算机入侵事件发生，Internet上的约1/4的防火墙被突破，约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。这些数据再一次向我们表明，信息时代网络安全的重要性。于是，越来越多的政府、企业纷纷寻找能够防范防火墙等安全设施所无法独立解决的风险和弱点的安全技术。浪潮公司坚信以技术为产品基础，以诚信为市场基础，为顾客提供一流的产品，倾心的服务，更有坚实的自信。浪潮网泰NS0410技术白皮书-4-2.浪潮网泰NS0410入侵检测系统特点（1）集中管理、分布检测，提供统一的管理界面，管理员可通过网泰NS0410管理平台对产品进行全方位的、综合的管理和控制。（2）采用了当前的先进的入侵检测技术。传统的入侵检测系统采用了简单的基于数据包的检测技术。这样导致了入侵检测效率的降低和误报率的增加。网泰NS0410入侵检测产品采用了扩展的误用分析技术和异常行为检测技术。通过协议分析、会话状态分析等等技术大幅提高了检测准确度的同时，还提高了检测性能，可满足当前的大流量环境下的检测需求。（3）灵活且简便的管理方式。网泰NS0410入侵检测产品提供灵活且简便的管理手段。采用C/S及B/S构架，可满足用户的各种管理需求，同时提供了全中文界面的、友好的管理界面，极大地减轻了管理员的管理负担。（4）提供强大的日志集中汇总功能，可综合分析所有详细日志。（5）提供综合的、强大的报表功能。网泰NS0410入侵检测产品集成基于CrystalReport的强大的报表功能，提供了100余种内置的报表样式。同时还提供了用户自定义报表功能。（6）与第三方安全产品的联动功能。网泰NS0410入侵检测产品可与第三方安全产品联动，组成强大的协防体系。浪潮网泰NS0410技术白皮书-5-3.浪潮网泰NS0410入侵检测系统入侵检测系统的技术组成要素入侵检测系统如下图所示，入侵检测系统分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报表以及响应阶段等4个阶段。数据采集(RawDataCollection)阶段是入侵检测系统收集目标系统中提供的系统使用内容、用于主机通讯的数据包等检测对象中的数据以便用于数据处理的阶段。数据处理及过滤(DataReductionandFiltering)阶段是将采集到的数据转换为可以识别入侵的数据的阶段。在分析及检测入侵阶段中通过分析这些数据来判断入侵与否。这一阶段是整个入侵检测系统的核心阶段。根据系统是以检测非正常使用为目的还是以检测利用系统的脆弱点或应用程序的BUG来进行入侵为目的，可以区分为非正常行为检测技术和误用检测技术。在报表及响应(ReportingandResponse)阶段入侵检测系统检查系统是否被入侵，如果被判断为入侵，则将对其自动进行相应的响应或者通知安全管理员对入侵情况采取措施。3.1网络入侵检测系统的必要性目前防范网络攻击最常用的方法就是防火墙。从技术理论上分，防火墙属于第一层安全防范手段，通常安装在网络入口来保护来自外部的攻击。由于防火墙本身特性为穿透型，因此它无法监控网络内部的攻击企图及其他行为，从而无法防范来自内部的网络攻击。但是实际环境当中，绝大部分攻击来自内部。而且由于防火墙本身除了考虑保证内部网络的安全性之外，同时还要考虑对网络性能的影响。因此不能在防火墙中执行需要消耗大量系统资源的内容分析工作，对于防火墙来说过多的内容分析工作是得不偿失的。但是对于目前绝大多数入侵攻击来说，如果不分析其内容无法判断其是否为攻击行为。目前一些做的较好的防火墙中添加了一些简单浪潮网泰NS0410技术白皮书-6-内容分析过滤功能，但是远远不能满足当前的检测、防范攻击行为的需求。因此需要专门的入侵检测系统来执行沉重的入侵检测及防范任务。由于网络入侵检测产品的构架为旁路监听方式，因此即使执行超负荷的内容分析，也不会影响整体网络性能。因此可以与防火墙形成强大的互补效应。同时通过入侵检测系统与防火墙联动，可以将防火墙阻断功能与入侵检测系统的专业的检测功能有效地利用起来，形成强大的联防系统。3.2浪潮网泰NS0410入侵检测产品特点网泰NS0410入侵检测产品是基于网络的入侵检测系统。它通过提供对付Internet或其它网络上的潜在攻击企图的方案及详细信息，来提供一个全面的策略，以增强企业网络的安全性。网泰NS0410入侵检测产品检测网络上的入侵并做出响应，但不会降低网络速度。此外，为了支持复杂网络环境，采用了管理平台、引擎分离的分布式构架。¾网泰NS0410入侵检测产品提供强大的网络入侵检测策略。9简单、实用的图形化用户界面9简便的入侵响应选择功能9详尽的入侵检测日志功能9实时监控和阻断功能¾创新技术9网泰NS0410入侵检测产品采用控制台、引擎分布的构架。9具有会话分析、智能协议分析、异常状态检测等先进的检测技术9拥有高速报文处理引擎9强大的可疑事件(SNA)事件检测能力9优化的抗IDS规避功能¾增强的安全性9网泰NS0410入侵检测产品提供了采集入侵相关信息、发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和内部的攻击。9网泰NS0410入侵检测产品以简单易用的界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能，提供了最佳的策略来增强Internet商业环境中的安全性。网泰NS0410入侵检测产品特别适用于需要极高的网络安全性的实体，例如：安全审计师、安全顾问、安全法律执行机构、大型企业、Internet服务提供商、培训机构以及政府机构等。¾增强的自身安全性采用stealth技术，有效地防止暴露入侵检测系统的存在。从而有效地保护了入侵检测系统自身的安全性。¾强大的自动升级功能网泰NS0410入侵检测产品通过自身集成的在线升级模块方便地对入侵检测库和产品浪潮网泰NS0410技术白皮书-7-模块进行升级，极大地方便了用户。¾强大的报表功能网泰NS0410入侵检测产品提供了基于CrystalReport的强大的报表功能。目前具有100余种报表样式，同时还提供了自定义报表的功能，极大地方便了用户。¾与第三方安全产品联动功能网泰NS0410入侵检测产品可与OPSEC、IAP等协议与第三方防火墙互动,Cisco路由器互动,防病毒网关等设备联动，组成强大的联合防御体系。¾强大的在线帮助功能9提供强大的入侵规则及产品使用在线帮助，极大地减轻了管理员的负担3.3浪潮网泰NS0410入侵检测产品功能网泰NS0410入侵检测产品提供了下列功能：入侵检测、流量统计、入侵响应、入侵报表、协议还原等各种功能。¾入侵检测网泰NS0410入侵检测产品中内置2000余种入侵检测规则，可以细粒度的检测各种入侵攻击企图。由网泰NS0410入侵检测产品提供的入侵检测可划分为下列四种类型9使用多样化而敏感的入侵检测引擎检测各种网络协议攻击企图。9检测拒绝服务(DoS)攻击企图－拥有领先的拒绝服务攻击检测能力。9检测后门－检测各种后门攻击9代码攻击－检测各种恶意的代码攻击9扫描攻击－可检测各种扫描攻击¾灵活的响应方式网泰NS0410入侵检测产品对所检测到的入侵企图和违背设定安全策略的活动做出响应，并提供了多种响应过程。对入侵企图的响应包括下列内容：9切断与入侵有关的会话9通过移动电话发送报警消息9通过电子邮件发送报警信息9运行用户指定的应用程序9在NT事件日志中记录报警9将与入侵有关的信息保存在数据库中¾网络入侵阻断网泰NS0410入侵检测产品可以阻断对特定服务器的访问或来自特定用户的服务。可阻断的服务有如下几种9电子邮件(POP,I