入侵检测系统通用技术要求.
入侵检测系统技术要求
入侵检测系统技术要求1.无处不在的监测:入侵检测系统应该能够监测和分析网络中的所有流量,包括入站和出站的流量。
对于大型网络来说,一个集中式入侵检测系统可能无法满足需求,因此需要分布式的入侵检测系统。
2.实时响应:入侵检测系统需要能够实时检测到入侵事件,并及时采取相应的响应措施,如阻止入侵者进一步访问,或者通知安全管理员做进一步处理。
实时响应可以减少安全事件对网络和系统造成的损害。
3.高度准确的检测:入侵检测系统需要具备高准确性的检测能力,能够区分正常网络活动和恶意活动。
为了达到高准确性,入侵检测系统可能会使用多种技术和算法,如基于规则的检测、基于统计的检测、基于机器学习的检测等。
4.多种检测维度:入侵检测系统需要能够检测多种类型的攻击和入侵行为。
这包括但不限于:网络扫描、漏洞利用、恶意软件、异常登录行为、数据包嗅探等。
入侵检测系统应该能够对网络中的各种恶意活动进行全面检测。
5.可扩展性:入侵检测系统需要能够适应不断变化的网络环境和威胁。
它应该具备良好的可扩展性,能够适应不同规模的网络,并且支持增加和移除新的检测规则及技术。
6.高性能和低延迟:入侵检测系统需要具备高性能和低延迟的特性。
它需要快速处理大量的网络流量,并及时响应检测到的入侵事件。
高性能和低延迟可以提高入侵检测系统的实用性和有效性。
7.日志和报告功能:入侵检测系统应该具备日志记录和报告功能,可以记录检测到的入侵事件,并生成详细的报告。
这些日志和报告可以帮助安全管理员分析网络的安全状况,及时发现和解决潜在的安全威胁。
8.全面的管理功能:入侵检测系统需要具备全面的管理功能,包括策略管理、报警管理、用户管理等。
这些管理功能可以帮助安全管理员更好地管理入侵检测系统,以及对网络进行有效的安全防护。
总之,入侵检测系统需要满足以上要求,以提供有效的网络安全保护和防御手段。
随着网络安全威胁的不断增加和演化,入侵检测系统也需要与时俱进,不断改进和更新,以适应不断变化的安全环境。
入侵检测系统的测试与评估
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。
开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。
本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
1 引言随着人们安全意识的逐步提高,入侵检测系统(IDS)的应用范围也越来越广,各种各样的IDS也越来越多。
那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题,都要对IDS进行测试和评估。
和其他产品一样,当IDS发展和应用到一定程度以后,对IDS进行测试和评估的要求也就提上日程表。
各方都希望有方便的工具,合理的方法对IDS进行科学。
公正并且可信地测试和评估。
对于IDS的研制和开发者来说,对各种IDS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IDS的使用者来说,由于他们对IDS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IDS产品宣传的误导。
IDS的用户对测试评估的要求尤为迫切,因为大多数用户对IDS本身了解得可能并不是很深入,他们希望有专家的评测结果作为自己选择IDS的依据。
总地来说,对IDS进行测试和评估,具有以下作用:·有助于更好地刻划IDS的特征。
通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。
·对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。
·利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。
入侵检测系统
入侵检测系统1. 引言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。
作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。
依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。
据统计,全球80%以上的入侵来自于内部。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 背国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。
如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。
虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
2. 入侵检测的概念和系统结构2.1 入侵检测的概念入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。
使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称IDS。
IDS入侵检测系统技术介绍(V1.0)
主机IDS和网络IDS的比较
基于网络的IDS系统的主要优点
成本底 攻击者转移证据很困难 实时检测和应答 能够检测未成功的攻击企图 操作系统独立。基于网络的IDS并与依赖主机的操作系 统做为检测资源。而基于主机的IDS系统需要特定的操 作系统才能发挥作用。
基于主机的IDS系统的主要优势
非常适用于加密和交换环境 实时的检测和应答 不需要额外的硬件
8
提 纲
什么是IDS IDS与FW IDS的实现方式 IDS的分析方式 IDS的结构 IDS面临的挑战 IDS的发展方向
9
入侵的分类
外部的: 你网络外面的侵入者,或者可能攻击你的外 部存在。外部的侵入者可能来自Internet, 拨号线, 物 理介入, 或者从同你网络连接的伙伴网络 内部的: 合法使用你的互连网络的侵入者。包括滥用 权力的人和模仿更改权力的人。
2
什么是IDS
IDS(Intrusion Detection System)就是入侵检测系 统; 它通过抓取网络上的所有报文,分析处理后,报告异 常和重要的数据模式和行为模式,使网络安全管理员 清楚的了解网络上发生的事件,并能够采取行动阻止 可能的破坏。
3
6
IDS的起源与发展
概念的诞生
1980年美国空军作了题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视),第一次详细 阐述了入侵检测的概念,同时提出了采用审计数据跟踪方法来监 视入侵活动的思想;
11
绕过防火墙的攻击
穿过防火墙的攻击行为
12
据统计80%的成功攻击来自 于防火墙内部!
13
防火墙的局限性
防火墙与入侵检测系统指标
12 日志功能 支持WELF的标准日志格式,可记录试图通过防火墙的非法数据包,可记录防火墙操作,支持日志导出功能。
13 可管理性 支持SNMP协议V3版本,同时提供相应的MIB库文件,能通过第三方网管软件对防火墙进行监测和控制。
14 支持路由 支持根据源地址或目的地址路由
15 支持生成数 支持生成树计算协议(包括PVST和CST)
5 带宽管理 支持层次化分级带宽管理功能
6 自身防御功能 支持抗DOS攻击
7 工作模式 透明、路由以及透明加路由的综合模式。
8 联动 与入侵检测系统联动
9 地址转换功能 可实现一一映射、多对一映射等不同方式的地址转换
10 系统管理 支持基于GUI的管理模式,通过SSL远程管理
11 H.323支持 支持基于H.323的视频会议和VoIP语音系统
安全证书及资质要求 1.中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》
2.中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
3.中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
4.中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》)
19 安全控制 可以主动阻断RESET报文
20 DHCP 支持DHCP服务,可同时作为DHCP服务器和客户端
21 邮件过滤 支持SMTP、POP3的发件人、收件人、邮件主题和附件的过滤
22 文件资源过滤 支持对FTP、HTTP的关键字过滤
23 安全证书及资质要求 1、通过国家有关安全部门的检验,具有相关的安全证书(中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》,中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》,被列入国家保密局安全产品推荐名单)防火墙产品入围数字福建定点采购范围。2、具有自主知识版权的国内产品。具备国家信息产品安全测评认证中心颁发的《信息安全服务二级资质》3、防火墙厂商提供售后服务承诺函原件
入侵检测系统
本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection sys tem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。《Next Generation Intrusion Detection in High-Speed Networks》对此做了描述,感兴趣的读者可参看。
在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。
在其他文章中,经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。如不特别指明,本文中两套术语意义相同。
IDS分类
一般来说,入侵检测系统可分为主机型和网络型。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
入侵检测技术
管理控制台
响应单元
事件分析器
事件数据库
事件产生器 用于 事后分析
• 作用是从整个计算环境中收集信息; • 信息收集包括收集:系统、网络、 数据及用户活动的状态和行为; • 并在不同关键点(不同网段和不同 主机)收集;
入侵检测系统的功能
入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动 态的安全检测技术。 一个合格的入侵检测系统应具备以下功能: 1. 监视用户和系统的运行状况,查找非法和合法用户的越权操作; 2. 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
基于主机的入侵检测系统的优点
– –
检测准确率高(精确地判断攻击行为是否成功) 适用于加密及交换环境
–
–
近于实时的检测和响应
不要求额外的硬件设备
–
–
能够检查到基于网络的系统检查不出的攻击
监视特定的系统活动(主机上特定用户)
基于主机的入侵检测系统的缺 点
–
HIDS依赖性强(系统必须是特定的,没有遭到破 坏的操作系统中才能正常工作)
它从计算机网络系统中的若干关键点收集信息,并分析这些信息;
根据信息来源不同,IDS可分为:
基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS)
基于主机的入侵检测系统
入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息,发现不安全的行为后采取相 应的措施
入侵检测系统的作用和目的
… …
• • • •
交换机
智能发现攻击 记录并发出报警信息 启动响应动作 审计跟踪
Internet
内部网
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
性能要求
6、 管理能力
支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式;
在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等) 每秒并发 TCP 会话数≥100000; 最大并发 TCP 会话数≥200000; 最大包捕获和处理能力≥200Mb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接;
入侵检测系统技术要求
千兆入侵检测系统
编号
项目
1. 机种
பைடு நூலகம்
要求 千兆机架式硬件设备;
备注
*
2. 监听口要求/数量 多模光纤(FDDI)模块≥2;
3.
语言支持要求
支持全中文的操作界面以及中文详细的解决方 *
案报告。
4. 入侵检测能力 支持深度协议识别,能够监测基于 Smart Tunnel
方式伪造和包装的通讯;
足即为废标。
7. 日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将检测到的攻击行为 在探测器本地保存,等到网络恢复正常自动的 同步到控制台或日志数据库。不会出现网络断 开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容;
用信息安全产品认证》;
百兆入侵检测系统
编号
项目
1
机种
2
监听口/数量
3
语言支持要求
4
入侵检测能力
要求
备注
百兆机架式硬件设备;
*
10/100Base-TX,总数≥2;
支持全中文的操作界面以及中文详细的解决方 *
案报告
支持深度协议识别,能够监测基于 Smart Tunnel 方式伪造和包装的通讯; 支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
情况下,探测引擎仍然会将检测到的攻击行为
在探测器本地保存,等到网络恢复正常自动的
同步到控制台或日志数据库。不会出现网络断
开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
报表系统可以自动生成各种形式的攻击统计和
流量统计报表报表,形式包括日报表,月报表,
报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分 析等多种分析方式,以直观、清晰的方式从总 体上分析网络上发生的各种事件,为管理人员 提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
用信息安全产品认证》;
注:在设备的规格和技术要求中标注*号项为必须满足的要求,任何一项不满
5. 性能要求 6. 管理能力
每秒并发 TCP 会话数≥200000; 最大并发 TCP 会话数≥500000; 最大处理能力≥1.2Gb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接; 控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
7
日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的
年报表等,通过来源分析,目标分析,类别分
析等多种分析方式,以直观、清晰的方式从总
体上分析网络上发生的各种事件,为管理人员
提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8.
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容; 支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式; 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出; 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等);