IDS产品技术白皮书
产品说明&技术白皮书-天融信入侵防御系统产品说明
天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击;攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。
网络安全技术白皮书范本
网络安全技术白皮书范本技术白皮书目录第一部分公司简介6第二部分网络安全的背景6第一章网络安全的定义6第二章产生网络安全问题的几个方面72.1 信息安全特性概述72. 2 信息网络安全技术的发展滞后于信息网络技术。
72.3TCP/IP协议未考虑安全性72.4操作系统本身的安全性82.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制82.6忽略了来自内部网用户的安全威胁82.7缺乏有效的手段监视、评估网络系统的安全性82.8使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失8第三章网络与信息安全防范体系模型以及对安全的应对措施83.1信息与网络系统的安全管理模型93.2 网络与信息安全防范体系设计93.2.1 网络与信息安全防范体系模型93.2.1.1 安全管理93.2.1.2 预警93.2.1.3 攻击防范93.2.1.4 攻击检测103.2.1.5 应急响应103.2.1.6 恢复103.2.2 网络与信息安全防范体系模型流程103.2.3 网络与信息安全防范体系模型各子部分介绍 113.2.3.1 安全服务器113.2.3.2 预警123.2.3.3 网络防火墙123.2.3.4 系统漏洞检测与安全评估软件133.2.3.5 病毒防范133.2.3.6 VPN 132.3.7 PKI 143.2.3.8 入侵检测143.2.3.9 日志取证系统143.2.3.10 应急响应与事故恢复143.2.4 各子部分之间的关系及接口15第三部分相关网络安全产品和功能16第一章防火墙161.1防火墙的概念及作用161.2防火墙的任务171.3防火墙术语181.4用户在选购防火墙的会注意的问题:21 1.5防火墙的一些参数指标231.6防火墙功能指标详解231.7防火墙的局限性281.8防火墙技术发展方向28第二章防病毒软件332.1病毒是什么332.2病毒的特征342.3病毒术语352.4病毒的发展的趋势372.5病毒入侵渠道382.6防病毒软件的重要指标402.7防病毒软件的选购41第三章入侵检测系统(IDS)423.1入侵检测含义423.2入侵检测的处理步骤433.3入侵检测功能463.4入侵检测系统分类 483.5入侵检测系统技术发展经历了四个阶段 483.6入侵检测系统的缺点和发展方向 49第四章VPN(虚拟专用网)系统494.1 VPN基本概念494.2 VPN产生的背景494.3 VPN的优点和缺点50第五章安全审计系统505.1、安全审计的概念505.2:安全审计的重要性505.3、审计系统的功能特点50第六章漏洞扫描系统516.1网络漏洞扫描评估系统的作用516.2 网络漏洞扫描系统选购的注意事项:1、是否通过国家的各种认证目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。
档案管理系统产品白皮书
档案管理系统产品白皮书XXX技术有限公司二〇〇九年八月目录概要 (4)一、产品背景 (5)二、产品特点 (6)三、产品市场定位 (7)3.1用户对象定位 (7)3.2技术定位 (7)3.3功能定位 (7)四、系统体系结构 (8)4.1系统拓扑结构 (8)4.2软件体系架构.................................. 错误!未定义书签。
4.3软件界面截图(C/S版本) (10)五、系统要紧功能 ................................... 错误!未定义书签。
5.1案卷管理子系统 (11)5.2编目整理子系统 (12)5.3检索查询子系统................................ 错误!未定义书签。
5.4借阅管理子系统 (13)5.5辅助管理子系统 (13)六安全保护技术 (15)6.1客户端安全设计 (15)6.2服务器端安全设计 (15)6.3传输安全设计 (16)七、数据库数据安全 (17)7.1系统的备份策略 (17)7.2系统的恢复策略 (18)八运行环境 (19)8.1服务器环境要求 (19)应用与数据库服务器,建议运行环境/软硬件配置:.... 错误!未定义书签。
8.2客户端环境要求 (19)九公司简介 (20)9.1 基本情况 (20)9.2 公司文化 (20)9.3 经营宗旨 (20)9.4 技术支持服务计划 (20)专业技术服务内容 (21)支持服务计划 (21)概要本系统是为厂矿企业、高等院校的档案管理的电子化提供信息化的产品,各个企事业单位,档案数量非常巨大,归整复杂,人工查询速度慢,无法产生应有的效益,工作效率低下,同时由于大部分档案信息在储存期间受制于档案储存环境影响,与档案利用者的重复调用影响,有可能造成原件的受损或者破坏,为档案的复查与重复利用带来极大的困难。
本产品是针对上述背景对现行手工档案管理的信息化支撑方案。
阿里云计算技术白皮书
阿里云计算技术白皮书阿里云计算技术白皮书
⒈引言
⑴背景介绍
⑵目的和范围
⒉云计算基础概念
⑴云计算定义
⑵云计算的好处
⑶云计算的类型
⑷云计算的架构
⒊阿里云计算平台
⑴阿里云概述
⑵阿里云的特点
⑶阿里云的产品和服务
⒋阿里云计算基础设施
⑴数据中心
⑵服务器
⑶存储
⑷网络
⒌阿里云计算的安全性
⑴防火墙
⑵ IDS/IPS
⑶云安全认证
⒍阿里云计算的可扩展性
⑴弹性计算
⑵自动扩展
⑶负载均衡
⒎阿里云计算的高可用性
⑴多数据中心部署
⑵数据备份与恢复
⑶全球加速
⒏阿里云计算的成本优势
⑴按需付费
⑵价格比较
⑶费用管理工具
⒐阿里云计算的应用场景
⑴企业应用
⑵电子商务
⑶大数据分析
⑷游戏
⒑结论
⑴总结云计算的优势
⑵对阿里云计算的评价
附件:
附件一:阿里云计算平台架构图
附件二:阿里云计算产品价格表
法律名词及注释:
⒈云计算:指一种通过网络提供计算能力、存储空间和服务的技术。
⒉数据中心:指存储大量云计算设备的物理场所,用于存储和处理数据。
⒊防火墙:指一种网络安全系统,用于过滤和阻止未经授权的网络访问。
⒋IDS/IPS:指入侵检测系统和入侵防御系统,用于监测和防御网络攻击。
⒌弹性计算:指根据需求自动调整计算资源的能力。
⒍可扩展性:指系统根据需要增加或减少计算资源的能力。
⒎高可用性:指系统保证在故障发生时仍能提供不间断服务的能力。
⒏按需付费:指用户按实际使用的计算资源付费,避免资源浪费。
新版'幻境'APT动态防御系统白皮书
1、2014 年 11 月索尼公司遭受 APT 攻击,数万名员工信息和多部未发行的电影拷贝遭 泄露。
2、斯诺登曝光了美国国家安全局(NSA)采用 APT 技术入侵了华为总部的服务器,窃 取了华为路由器和交换机的相关信息,并监控了华为高管的通信。
1 前言........................................................................................................................................................1
随着政府部门、企业和机构部署的内部网络应用范围的扩展,在为单位和个人提供了便 捷办公的同时,也为攻击者非法获取网络用户的数据信息提供了可乘之机。针对这些内部网 络的网络攻击技术已成为网络战的重要组成部分,以窃取目标网络内机密信息为目的的内网 渗透和控制技术正在快速发展之中。如高级持续性威胁(Advanced Persistent Threat,APT) 这种新型的网络攻击方式,通过长时间对目标的观察、收集信息,发现网络中薄弱环节,针 对利用网络、系统或应用的漏洞,逐步渗透到网络内部,从而窃取内部信息或控制内部网络。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,卫达及其 员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更 新,卫达恕不承担另行通知之义务。
版权所有 不得翻印。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或 是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
零信任访问控制系统技术白皮书
零信任访问控制系统—技术白皮书XX公司(北京)有限公司2021年4月目录1产品背景 (4)1.1 企业边界的演变 (4)1.2 企业安全威胁的演变和面临挑战 (5)2.产品概述 (8)1.3 HIEZTNA三大组件 (11)1.4 三大组件工作流程 (12)1.5 产品模块介绍 (12)3产品功能亮点 (14)3.1实现内网隐身,减少安全开支 (14)3.3.1层层授权、层层防御 (14)3.1.2私有DNS (15)3.1.3 SPA与动态端口 (15)3.1.4端口授权控制,开放多端口不再是安全隐患 (15)3.2更细粒度的安全控制 (15)3.2.1访问安全 (16)3.2.2应用级访问 (16)3.2.3按需授权 (16)3.2.4身份认证 (16)3.2.5安全保护快速集成 (17)3.3统一工作平台 (17)3.3.1统一内外网访问 (18)3.3.2统一工作入口 (18)3.3.3统一远程管理 (19)3.4.4数据可视化 (19)3.3.5 灵活便捷的远程访问通道 (20)3.5.6 HIE连接器 (20)4应用场景 (20)4.1远程访问(企业合作伙伴/分公司访问业务系统) (20)4.2企业内网安全加固 (21)4.3企业安全上云 (21)4.4企业移动办公/远程办公 (22)5 等保合规性分析 (22)1产品背景1.1企业边界的演变现在多数企业都还是采用传统的网络分区和隔离的安全模型,用边界防护设备划分出企业内网和外网,并以此构建企业安全体系。
在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如移动办公员工、分支机构接入企业内网都需要通过专线或VPN。
不可否认传统的网络安全架构在过去发挥了积极的作用,但是在高级网络攻击肆虐,内部恶意事件频发的今天,传统的网络安全架构需要迭代升级。
随着云、移动化、loT等新技术的出现让企业数据不再局限在内网或者外网,传统安全内外网边界也在瓦解,企业IT架构正在从内外网的模糊化转变。
产品技术白皮书
产品技术白皮书1、数据服务平台概述大数据作为重要的战略资源已在全球范围内得到广泛认同。
数据作为一种资产已经达到共识,将数据当作核心资源的时代,数据呈现出战略化、资产化、社会化等特征。
企业和政府部门经历了IT系统的建设都存在了海量的数据,更多的企业已经完成或者开始准备着数据中心、数据集市等一系列的系统建设,已初步形成企业级的数据资源目录。
但各个企业的数据接口在管理上存在规范不统一、数据源多样、维护成本高、集成难度大,在技术上存在SQL注入、Dos攻击、安全性差、架构不能灵活扩展等风险。
数据共享服务的需求正变得愈发迫切数据服务平台用于对企业的数据服务资源进行统一管理的B/S应用平台,是数据使用和价值变现的基础平台,在数据消费者和数据提供者之间建立了有效的通道,并可管理不同类型格式的接口。
数据服务平台提供API服务创建功能,提供了多种方式生产API,创建方式非常灵活,能够支持服务代理、数据库查询、数据脱敏、参数转码等多种功能。
提供Restful风格的数据调用方式。
通过web界面即可完成数据服务接口的服务发布、审核、共享,无需编程人员开发代码。
基于微服务架构,提升服务开发效率,使服务注册,服务调用等工作变得简单,操作简洁易用;服务接入规范、简单,可灵活扩展,新的服务可以快速接入。
2、数据服务平台定位数据中心整体的功能架构及结合数据服务平台所具备的能力:数据服务平台主要包含数据服务开发、数据服务提供、数据服务管理功能。
数据服务开发:针对数据服务的开发者,系统提供多种方式生产API,包含服务代理、数据库插叙、数据脱敏、参数转码等。
通过流程化的操作步骤即可完成API的在线一体化的开发、发布、审核。
数据服务提供:基于服务目录的方式,数据服务提供者将服务发布到服务目录。
数据服务使用者即可对提供的服务进行在线申请。
数据服务管理:数据服务管理包含服务的申请、调用、授权、熔断、灰度加载、监控等。
3、数据服务平台特点与优势一键数据共享数据服务平台完美对接数据治理成果,借助治理后的数据资产目录可快捷实现数据一键开放。
网神SecIDS 3600入侵检测系统产品白皮书
目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误!未定义书签。
5产品资质 (14)1产品概述针对互联网病毒、蠕虫,黑客攻击行为的增多,网神SecIDS 3600 入侵检测系统在监测网络流量的基础上,集成对这些信息的控制和实时响应功能,为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能,帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析,构建安全可靠的信息网络。
2产品特点⏹强大的分析检测能力:采用了先进的入侵检测技术体系,结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击,使系统能够准确快速地检测各种攻击行为,并显著地提高了系统的性能,能够适应日益复杂的网络环境。
⏹超低的误报率和漏报率:采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。
⏹丰富的统计报表:能够给用户提供丰富的动态图形报表,有超过40种的分析报表模版和向导式的用户自定义报表功能。
⏹良好的可管理性:优化的三层分布式体系架构设计,分级部署,集中控制,全远程智能升级。
能够提供图形化的风险评估、事件显示和资产配置,以及图形化的网络流量状态的实时监控。
⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式,用户可以按照传感器部署的位置或组织结构的要求等条件,将整个入侵检测系统划分为不同工作域。
在不同的工作域里,可以根据需要部署不同的组件。
工作域之间可以是平行或上下级的关系,上一级的工作域拥有比下一级工作域更多的管理权限。
系统具有唯一的全局工作域,负责对整个系统进行管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIUnisIDS技术白皮书1UnisIDS 简介1.1入侵检测系统概述1.1.1入侵检测系统分类不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。
如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。
入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。
基于网络的入侵检测系统具有如下特点:通过分析网络上的数据包进行入侵检测入侵者难以消除入侵痕迹–监视资料将保存这些信息可以较早检测到通过网络的入侵可以检测到多种类型的入侵扫描–利用各种协议的脆弱点拒绝服务攻击–利用各种协议的脆弱点hacking代码规则匹配–识别各种服务命令可灵活运用为其他用途检测/防止错误网络活动分析、监控网络流量防止机密资料的流失图 1网络入侵检测模型而基于主机的入侵检测系统则具有以下的特点具有系统日志或者系统呼叫的功能可识别入侵成功与否可以跟踪、监视系统内部行为检测系统缓冲区溢出基于主机的入侵检测可以区分为基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析,一旦发现可疑的入侵行为和异常数据包,立即报警并做出相应的响应,使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用,从而最大程度的降低系统安全风险,有效的保护系统的资源和数据。
1.1.2入侵检测系统技术组成因素如图 2所示入侵检测系统的处理过程分为数据采集阶段,数据处理及过滤阶段,入侵分析及检测阶段,报告以及响应阶段等 4 阶段。
图 2入侵检测的技术组成因素数据采集阶段是数据审核阶段。
入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。
数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。
分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。
这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。
报告及响应阶段针对上一个阶段中进行的判断作出响应。
如果被判断为发生入侵,系统将对其采取相应地响应措施,或者通知管理人员发生入侵以便于采取措施。
最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。
1.1.3入侵检测/响应流程图图 3入侵检测/响应流程图如上图,网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应,响应的形式可以是多种多样的。
如果一个会话匹配Network Agent的规则,则作出相应的入侵响应。
1.2UnisIDS的特点1.2.1U nisIDS的特点UnisIDS针对INTERNET或者INTRANET的安全威胁因素,提供各种详尽的检测及响应机制,从而提高整个网络资源的安全性能。
在不影响网络性能的情况下,通过简单的设置来有效地增强系统的安全性。
UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎Network Agent和基于主机的入侵检测引擎Host Agent(即将推出)三个模块,用户可根据需要选用相应的模块。
Admin(管理中心)是UnisIDS的管理中心,提供友好的用户界面,通过对配置和策略的管理集中控制引擎的工作,对网络和服务器的状态进行实时监视,并可以生成各种统计报表。
基于MicroSoft Win2000的管理平台集中管理和配置多个远程的Network Agent 和Host Agent存储Network Agent 和Host Agent发送的数据接收Network Agent 和Host Agent发来的实时警报支持常用 DB提高了报表处理能力(Crystal Report)支持在线升级详尽的帮助 (支持在线帮助)Network Agent(网络引擎)通过对网络数据包的实时分析得到的,它可以检测各种不同类型的攻击,包括扫描、拒绝服务等。
通过分析网络上的数据包进行入侵检测入侵者难以消除入侵痕迹–可以用于监视资料可以较早检测到通过网络的入侵可以检测到多种类型的入侵●扫描–利用各种协议的脆弱点●服务拒绝攻击–利用各种协议的脆弱点●攻击代码规则匹配–识别各种服务命令可灵活运用为其它用途●检测/防止网络错误活动●分析、监控网络流量●防止机密资料的流失多种入侵响应●向管理中心发警告消息●向安全管理员发Email●记录事件日志和整个会话截断入侵连接Host Agent(主机引擎)通过对系统资源、进程、日志等的实时监视,发现可疑的入侵行为并做相应的分析和验证,保证系统数据的完整性。
可识别入侵成功与否可以跟踪、监视系统内部行为检测系统缓冲区溢出基于主机的入侵检测可以区分为●基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)●基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)入侵响应●向管理中心发警告消息●向安全管理员发Email●杀死进程、父进程、进程组或进程对话●锁定用户帐号、终止系统、禁止网络访问●记录事件日志和整个会话1)便利性和实用性UnisIDS软件包对于管理者来说是使用方便、实用且有效的信息安全工具。
它具有如下功能:⏹提供方便且友好的用户界面⏹响应方法便于自主选择⏹识别大范围的地址⏹监视网络流量⏹监测各种类型的信息包⏹提供包含实际攻击内容的日志⏹通过检测模式的优化来减小网络负担⏹支持监控和阻塞技术2)革新性的技术⏹可以穿越防火墙,通过内建的监视器,通过设置多台代理监视可以实现监控,并控制多个子网内部的活动,而且不影响网络性能。
⏹通过报表可以获取有关网络活动和使用情况的详细报告,可以根据这些信息调整我们的内部网络使用策略。
⏹可以实时监控网络使用情况,检测网络上通过的信息。
⏹可以从设置的每个代理收集资料并进行集中管理,因此也适用于大型网络。
3)安全性提高UnisIDS软件包通过检测发生在TCP/IP协议上的可能存在的欺骗因素来提高安全性。
UnisIDS软件包为以互联网技术背景的电子商务环境提供完整的安全解决方案。
采用方便全面的方法监视网络,对入侵行为进行、阻塞、报警并提供入侵日志。
UnisIDS主要的用户对象是各个单位的网络安全管理者、各信息安全咨询公司、信息安全法律执行机关、大中型企业、ISP、ICP、教育机构以及政府机构。
UnisIDS软件包可以在不影响网络速度的情况下监视特定的应用会话,对入侵进行检测以及响应。
同时可以在不影响网络性能的情况下配置几台Network Agent来各自执行,提供详尽的设置功能,以适应大型网络,。
1.2.2U nisIDS 的功能UnisIDS可以对网络进行监控,并且对入侵作出响应。
⏹对网络使用情况进行监控⏹检测是否发生入侵,以及违背策略的网络活动⏹监视并阻塞对有害站点得浏览⏹邮件监视(可以监视邮件的收件人、发件人和所发送的文件)⏹可以限制一些网络活动 (如Telnet, FTP, HTTP 等等)⏹可以提供详细的监视报告⏹提供多种入侵响应方式1) 网络监视UnisIDS基于TCP/IP实现网络监视功能,可以通过定义各种安全策略来实现入侵检测、WEB监视、邮件监视等功能。
⏹监视对一些特定网站的访问⏹监视使用特定网络协议进行访问的用户活动⏹监视包含特定站点和关键字的邮件信息⏹监视网络活动,检测是否存在攻击行为(主要针对拒绝服务攻击)⏹监视网络上的入侵活动2)入侵检测UnisIDS可以由定义的入侵模式检测数百种类型的入侵。
入侵分为如下四种。
⏹通过详尽的入侵检测引擎,检测网络协议攻击⏹在目前的产品中提供最多种类的拒绝服务检测⏹可以改变用户权限,在超级用户模式下检测对服务器的任意操作⏹用户可以启动多条入侵检测功能来检测特定用户访问服务器、访问特定服务器以及使用特定服务的情况。
另外也可以这些功能的基础上,可以按照时间段添加特定安全策略。
3) 入侵响应UnisIDS对违反定义的安全策略的各种活动或者入侵行为以各种方式进行响应。
下面列出了各种入侵响应方式,可以根据需要组合使用。
⏹终止与入侵相关的会话⏹以E-mail形式发送警报⏹在NT 事件日志上保存警报日志⏹在数据库中保存关于入侵的信息4) 入侵截断UnisIDS 网络入侵检测系统可截断特定用户对特定服务器的方位或者使用特定服务。
可以截断的服务如下:⏹与E-Mail相关的服务 (POP, IMAP and SMTP)⏹Web Browsing (HTTP)⏹News (NNTP)⏹Telnet⏹FTP⏹NFS⏹其它所有TCP 服务5)WEB监视UnisIDS入侵检测系统可以阻塞对有害网站的访问,也可以根据用户指定来阻塞对一些特定网站的访问。
管理人员可以通过WEB监视器来检查对WEB 网站的访问情况。
对于WEB监视器,可以应用如下规则:⏹特定用户对所有网站的访问⏹所有客户对特定网站的访问⏹特定客户对指定的一组WEB的访问情况⏹一组特定用户对指定WEB的访问情况6)日志UnisIDS入侵检测系统根据协议提供有关网络活动和使用情况的分析报告。
包括:⏹产生对所有网络活动的总结报告⏹通过网络监视器产生网络使用情况报告⏹通过入侵检测系统报告所有违背安全规则的事件⏹产生和WEB使用情况有关的日志报告⏹报告各类协议的使用情况⏹报告Network Agent的设置情况。
1.2.3U nisIDS各种功能的运用概况UnisIDS 网络入侵检测系统各种功能的运用如下表表1 UnisIDS软件包的功能和运用步骤2IDS的使用方案2.1系统要求UnisIDS软件包必须满足如下系统要求,用户才能正确使用 UnisIDS。
表2 UnisIDS系统要求2.2网络环境图 4 UnisIDS的典型应用环境上面是典型的UnisIDS应用环境拓扑结构图,说明了UnisIDS软件包在网络上设置的位置,以便于理解本产品在网络上所要执行的功能。
在该网络系统中安装了UnisIDS入侵检测系统的Admin和Network Agent模块,其中Admin通过hub与Network Agent相连,对Network Agent进行配置和管理;Network Agent安装在网络的入口处:防火墙的内部口和中立区入口,可以实时监视该网络系统和Internet间传输的数据包,检测来自Internet上对内部网和中立区服务器的异常行为和攻击,包括当前较为流行的IIS Unicode漏洞攻击、BIND缓冲区溢出攻击、DOS攻击等,并做出相应的响应,报警、截断并记录入侵行为。