IDS产品技术白皮书
UnisIDS技术白皮书
1UnisIDS 简介
1.1入侵检测系统概述
1.1.1入侵检测系统分类
不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。
基于网络的入侵检测系统具有如下特点:
通过分析网络上的数据包进行入侵检测
入侵者难以消除入侵痕迹–监视资料将保存这些信息
可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
扫描–利用各种协议的脆弱点
拒绝服务攻击–利用各种协议的脆弱点
hacking代码规则匹配–识别各种服务命令
可灵活运用为其他用途
检测/防止错误网络活动
分析、监控网络流量
防止机密资料的流失
图 1网络入侵检测模型
而基于主机的入侵检测系统则具有以下的特点
具有系统日志或者系统呼叫的功能
可识别入侵成功与否
可以跟踪、监视系统内部行为
检测系统缓冲区溢出
基于主机的入侵检测可以区分为
基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)
基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)
而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析,一旦发现可疑的入侵行为和异常数据包,立即报警并做出相应的响应,使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用,从而最大程度的降低系统安全风险,有效的保护系统的资源和数据。
1.1.2入侵检测系统技术组成因素
如图 2所示入侵检测系统的处理过程分为数据采集阶段,数据处理及过滤阶段,入侵分析及检测阶段,报告以及响应阶段等 4 阶段。
图 2入侵检测的技术组成因素
数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。
数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。
分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。
报告及响应阶段针对上一个阶段中进行的判断作出响应。如果被判断为发生入侵,系统将对其采取相应地响应措施,或者通知管理人员发生入侵以便于采取措施。最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。
1.1.3入侵检测/响应流程图
图 3入侵检测/响应流程图
如上图,网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应,响应的形式可以是多种多样的。如果一个会话匹配Network Agent的规则,则作出相应的入侵响应。
1.2UnisIDS的特点
1.2.1UnisIDS的特点
UnisIDS针对INTERNET或者INTRANET的安全威胁因素,提供各种详尽的检测及响应机制,从而提高整个网络资源的安全性能。在不影响网络性能的情况下,通过简单的设置来有效地增强系统的安全性。
UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎Network Agent 和基于主机的入侵检测引擎Host Agent(即将推出)三个模块,用户可根据需要选用相应的模块。
Admin(管理中心)是UnisIDS的管理中心,提供友好的用户界面,通过对配置和策略的管理集中控制引擎的工作,对网络和服务器的状态进行实时监视,并可以生成各种统计报表。
基于MicroSoft Win2000的管理平台
集中管理和配置多个远程的Network Agent 和Host Agent
存储Network Agent 和Host Agent发送的数据
接收Network Agent 和Host Agent发来的实时警报
支持常用 DB
提高了报表处理能力(Crystal Report)
支持在线升级
详尽的帮助 (支持在线帮助)
Network Agent(网络引擎)通过对网络数据包的实时分析得到的,它可以检测各种不同类型的攻击,包括扫描、拒绝服务等。
通过分析网络上的数据包进行入侵检测
入侵者难以消除入侵痕迹–可以用于监视资料
可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
扫描–利用各种协议的脆弱点
服务拒绝攻击–利用各种协议的脆弱点
攻击代码规则匹配–识别各种服务命令
可灵活运用为其它用途
检测/防止网络错误活动
分析、监控网络流量
防止机密资料的流失
多种入侵响应
向管理中心发警告消息
向安全管理员发Email
记录事件日志和整个会话
截断入侵连接
Host Agent(主机引擎)通过对系统资源、进程、日志等的实时监视,发现可疑的入侵行为并做相应的分析和验证,保证系统数据的完整性。
可识别入侵成功与否
可以跟踪、监视系统内部行为
检测系统缓冲区溢出
基于主机的入侵检测可以区分为
基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)
基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)
入侵响应
向管理中心发警告消息
向安全管理员发Email
杀死进程、父进程、进程组或进程对话
锁定用户帐号、终止系统、禁止网络访问
记录事件日志和整个会话
1)便利性和实用性
UnisIDS软件包对于管理者来说是使用方便、实用且有效的信息安全工具。它具有如下功能:
提供方便且友好的用户界面
响应方法便于自主选择
识别大范围的地址
监视网络流量
监测各种类型的信息包
提供包含实际攻击内容的日志
通过检测模式的优化来减小网络负担
支持监控和阻塞技术
2)革新性的技术
可以穿越防火墙,通过内建的监视器,通过设置多台代理监视可以实现监控,并控制多个子网内部的活动,而且不影响网络性能。
通过报表可以获取有关网络活动和使用情况的详细报告,可以根据这些信息调整我们的内部网络使用策略。
可以实时监控网络使用情况,检测网络上通过的信息。
可以从设置的每个代理收集资料并进行集中管理,因此也适用于大型网络。
3)安全性提高
UnisIDS软件包通过检测发生在TCP/IP协议上的可能存在的欺骗因素来提高安全性。
UnisIDS软件包为以互联网技术背景的电子商务环境提供完整的安全解决方案。采用方便全面的方法监视网络,对入侵行为进行、阻塞、报警并提供入侵日志。
UnisIDS主要的用户对象是各个单位的网络安全管理者、各信息安全咨询公司、信息安全法律执行机关、大中型企业、ISP、ICP、教育机构以及政府机构。
UnisIDS软件包可以在不影响网络速度的情况下监视特定的应用会话,对入侵进行检测以及响应。同时可以在不影响网络性能的情况下配置几台Network Agent来各自执行,提供详尽的设置功能,以适应大型网络,。
1.2.2UnisIDS 的功能
UnisIDS可以对网络进行监控,并且对入侵作出响应。
对网络使用情况进行监控
检测是否发生入侵,以及违背策略的网络活动
监视并阻塞对有害站点得浏览
邮件监视(可以监视邮件的收件人、发件人和所发送的文件)
可以限制一些网络活动 (如Telnet, FTP, HTTP 等等)
可以提供详细的监视报告
提供多种入侵响应方式
1) 网络监视
UnisIDS基于TCP/IP实现网络监视功能,可以通过定义各种安全策略来实现入侵检测、WEB监视、邮件监视等功能。
监视对一些特定网站的访问
监视使用特定网络协议进行访问的用户活动
监视包含特定站点和关键字的邮件信息
监视网络活动,检测是否存在攻击行为(主要针对拒绝服务攻击)
监视网络上的入侵活动
2)入侵检测
UnisIDS可以由定义的入侵模式检测数百种类型的入侵。入侵分为如下四种。
通过详尽的入侵检测引擎,检测网络协议攻击
在目前的产品中提供最多种类的拒绝服务检测
可以改变用户权限,在超级用户模式下检测对服务器的任意操作
用户可以启动多条入侵检测功能来检测特定用户访问服务器、访问特定服务器以及使用特定服务的情况。
另外也可以这些功能的基础上,可以按照时间段添加特定安全策略。
3) 入侵响应
UnisIDS对违反定义的安全策略的各种活动或者入侵行为以各种方式进行响应。
下面列出了各种入侵响应方式,可以根据需要组合使用。
终止与入侵相关的会话
以E-mail形式发送警报
在NT 事件日志上保存警报日志
在数据库中保存关于入侵的信息
4) 入侵截断
UnisIDS 网络入侵检测系统可截断特定用户对特定服务器的方位或者使用
特定服务。可以截断的服务如下:
与E-Mail相关的服务 (POP, IMAP and SMTP)
Web Browsing (HTTP)
News (NNTP)
Telnet
FTP
NFS
其它所有TCP 服务
5)WEB监视
UnisIDS入侵检测系统可以阻塞对有害网站的访问,也可以根据用户指定来阻塞对一些特定网站的访问。管理人员可以通过WEB监视器来检查对WEB网站的访问情况。对于WEB监视器,可以应用如下规则:
特定用户对所有网站的访问
所有客户对特定网站的访问
特定客户对指定的一组WEB的访问情况
一组特定用户对指定WEB的访问情况
6)日志
UnisIDS入侵检测系统根据协议提供有关网络活动和使用情况的分析报告。包括:
产生对所有网络活动的总结报告
通过网络监视器产生网络使用情况报告
通过入侵检测系统报告所有违背安全规则的事件
产生和WEB使用情况有关的日志报告
报告各类协议的使用情况
报告Network Agent的设置情况。
1.2.3UnisIDS各种功能的运用概况
UnisIDS 网络入侵检测系统各种功能的运用如下表
表1 UnisIDS软件包的功能和运用步骤
2IDS的使用方案
2.1系统要求
UnisIDS软件包必须满足如下系统要求,用户才能正确使用 UnisIDS。
表2 UnisIDS系统要求
2.2网络环境
图 4 UnisIDS的典型应用环境
上面是典型的UnisIDS应用环境拓扑结构图,说明了UnisIDS软件包在网络上设置的位置,以便于理解本产品在网络上所要执行的功能。
在该网络系统中安装了UnisIDS入侵检测系统的Admin和Network Agent 模块,其中Admin通过hub与Network Agent相连,对Network Agent进行配置和管理; Network Agent安装在网络的入口处:防火墙的内部口和中立区入口,可以实时监视该网络系统和Internet间传输的数据包,检测来自Internet上对内部网和中立区服务器的异常行为和攻击,包括当前较为流行的IIS Unicode 漏洞攻击、BIND缓冲区溢出攻击、DOS攻击等,并做出相应的响应,报警、截断并记录入侵行为。如果在内部各子网的入口安装Network Agent模块,则可以监视内部网的活动,有效的发现来自内部网的攻击。
UnisIDS软件包的管理者接口部分都位于Admin中。从Network Agent软件包不能访问 Admin。对Network Agent中的环境参数的设置和变更在 Admin 中集中进行, 而在Network Agent 按照Admin中进行的设置的运行。在Network Agent中采集的监视数据和保存的违反安全规则的监视数据,不能直接在Network Agent查询或者输出。Network Agent中保存的这些数据只有传送到
Admin之后,才可以通过 Admin的接口查询或者输出。
2.3UnisIDS软件包的功能和设置对安全产生的影响
正确设置UnisIDS软件包并添加相应管理者,可以提供监控网络使用情况、入侵检测,以及违背策略的活动的检测、 WEB检测及截断有害站点(情报通信伦理委员会基准)、 MAIL监控 (接收者,发信者,参考附件文件检索)、针对特定协议(服务)相关的网络活动的响应、防止网络上的不必要的活动(Telnet, FTP, HTTP 等等)等功能和详尽的报表功能和多种入侵响应方式。
按各种功能分类UnisIDS网络入侵系统的运用如下表
表3 UnisIDSt软件包的功能和运用步骤
安装时可以按照 UnisIDS软件包的作用和所要执行的功能来决定安装Network Agent还是 Admin 。
3IDS比较
以下是几种常见的入侵检测系统的比较。
4影响UnisIDS的一些因素
而影响UnisIDS软件包性能的因素,经过我们的实地测试和理论分析,有如下一些重要因素。
4.1CPU数量
由于UnisIDS需要实时处理大量数据,因此CPU使用量较大。并且同时CPU 个数也影响软件包的处理量。
4.2CPU 速度
CPU的性能与UnisIDS性能有很大关系。下表是经我们测试的一些数据。
表5 CPU与UnisIDS性能
4.3网卡
由于网卡的硬件和驱动程序的不同,将影响到数据包的丢失率。尤其是在大流量环境中。这并不是说NIC本身性能的差别,而是针对UnisIDS的体系结构各种网卡显示的性能各不相同。
目前测试的结果,在快速以太网(100Mbps)环境中,使用Intel 8255X主芯片的网卡显示出较好的性能。
4.4前端总线速率
前端总线(FSB,Front Side Bus)速率是影响内存和主板性能的重要因素。由于UnisIDS 需要处理大量数据,因此内存访问量将很频繁,因此增加内存将有助于数据的处理。
另外我们还发现,CPU 缓存越快越好,但当其超过512K时其差别甚微。4.5硬盘I/O速率
该指标将影响到内存页面交换(Memory pagging swapping)和记录日志数据(Log data)的性能。