华依入侵检测系统.doc

1、 华依入侵检测系统1 目目 录录前 言 .31 入侵检测系统概述 41.1 什么是入侵检测系统 .41.2 入侵检测系统的技术分析与发展方向 .41.2.1 入侵检测技术分析 41.2.1.1 技术分类 41.2.1.1.1 特征检测 .41.2.1.1.2 异常检测 41.2.1.2 常用检测方法 51.2.1.2.1 特征检测 51.2.1.2.2 统计检测 51.2.1.2.3 专家系统 61.2.2 入侵检测技术发展方向 71.2.2.1 入侵技术的发展与演化 71.2.2.1.1 入侵或攻击的综合化与复杂化 71.2.2.1.2 入侵主体对象的间接化 71.2.2.1.3 入侵或攻击

2、的规模扩大 71.2.2.1.4 入侵或攻击技术的分布化 81.2.2.1.5 攻击对象的转移 81.2.2.2 入侵检测技术大致可朝下述三个方向发展 81.2.2.2.1 分布式入侵检测 81.2.2.2.2 智能化入侵检测 81.2.2.2.3 全面的安全防御方案 92.华依入侵检测系统 102.1 华依 IDS 系统概述 102.2 华依 IDS 系统功能 102.2.1 攻击特征 102.2.1.1 攻击特征数 102.2.1.2 灵活策略设置 112.2.1.3 攻击特征库更新频率和方式 112.2.2 软件分发技术 112.2.3 IFI 技术 .112.2.4 水晶报表技术 11

3、2.2.5 探测引擎可同时监控多个网段 112.2.6 支持网桥工作方式 122.2.7 通过 AppSwitch 方式支持 1000M 网络方式 122.2.8 抗攻击能力 122.2.8.1 抗针对 IDS 的 DOS 攻击 .122.2.8.2 探测引擎和控制台互相认证 12华依入侵检测系统2 2.2.8.3 通信加密 132.2.8.4 抗反 IDS 技术 .132.2.9 报警与警告 132.2.9.1 实时警告通知 132.2.9.2 防止未经授权访问文件或试图获得根、超级用户的控制 132.2.9.3 检测失败的访问请求 132.2.9.4 跟踪成功的访问 142.2.9.5 报

4、告远程用户试图进入的准确端口 142.2.9.6 警告通知方式 142.2.10 集成性 142.2.11 报告 142.2.11.1 自动将事件信息记录到关系数据库中 142.2.11.2 提供报告向导 142.2.11.3 提供可定制的报告 152.2.11.4 获得报告的时间可定义 152.3 华依 IDS 运行机制 152.3.1 探测引擎 152.3.2 控制台 16附录 1 华依 IDS 系统配置 161 运行环境 162 系统配置 162.1 控制台配置 .162.2 探测引擎配置 .17附录 2 华依入侵检测产品说明 171 产品清单 172 产品规格 173 技术性能 18华

5、依入侵检测系统3 前 言欢迎使用“华依入侵检测系统”软件在互联网飞速发展的 e 时代里, 很多的商业机构、工厂企业、社区学校，以及政府机构都纷纷进入了互联网这个高科技的领域，然而网络的安全问题却越来越成为互联网的一个最大难题。随着黑客入侵事件的日益猖獗，人们发现只从防御的角度构造安全系统是不够的。入侵检测技术是继“防火墙” 、 “数据加密”等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。根据统计资料表明，30%的入侵发生在有防火墙的情况下。所以,我们需要使用 IDS 来降低这些安全隐患。

6、华依入侵检测系统将最大限度地、全天候地监控企业级网络的安全,在受保护的主机和网络遭受破坏之前阻止非法的入侵行为。本书将详细介绍“华依入侵检测系统”, 帮助您迅速理解和掌握它的使用方法。华依入侵检测系统 网络安全的坚强卫士华依入侵检测系统4 1 入侵检测系统概述1.1 什么是入侵检测系统IDS(Intrusion Detection Systems), 入侵检测系统。所谓的入侵检测系统,就是在入侵者对您的网络进行刺探渗透的时候,能提前做出反应, 并且根据入侵者的手段, 做出对应的动作。或者是当您的网络遭到入侵之后, 能提供入侵者在此次入侵中所做的动作以及使用的手段和记录入侵者的罪证的系统。1.2

7、 入侵检测系统的技术分析与发展方向1.2.1 入侵检测技术分析1.2.1.1 技术分类入侵检测系统所采用的技术可分为特征检测与异常检测两种。1.2.1.1.1 特征检测特征检测(Signature-based detection)又称 Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。1.2.1.1.2 异常检测异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

8、根据这一华依入侵检测系统5 理念建立主体正常活动的“活动简档” ，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。1.2.1.2 常用检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中 95是属于使用入侵模板进行模式匹配的特征检测产品，其他 5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。1.2.1.2.1 特征检测特征检测对已知的

9、攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。 该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。1.2.1.2.2 统计检测统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测 5 种统计模型为： 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很华依

10、入侵检测系统6 有可能是口令尝试攻击； 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； 多元模型，操作模型的扩展，通过同时分析多个参数实现检测； 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规

11、律，从而透过入侵检测系统。1.2.1.2.3 专家系统用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为 if-then 结构（也可以是复合结构） ，条件部分为入侵特征，then 部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。华依入侵检测系统7 1.2.2 入侵检测技术发展方向无论从规模与方法上入侵技术近

12、年来都发生了变化。入侵的手段与技术也有了“进步与发展”。1.2.2.1 入侵技术的发展与演化主要反映在下列几个方面：1.2.2.1.1 入侵或攻击的综合化与复杂化入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。1.2.2.1.2 入侵主体对象的间接化入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。1.2.2.1.3 入

13、侵或攻击的规模扩大对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。华依入侵检测系统8 信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。1.2.2.1.4 入侵或攻击技术的分布化以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击

14、主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。1.2.2.1.5 攻击对象的转移入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对 IDS 作攻击的报道。攻击者详细地分析了 IDS 的审计方式、特征描述、通信模式找出 IDS 的弱点，然后加以攻击。1.2.2.2 入侵检测技术大致可朝下述三个方向发展1.2.2.2.1 分布式入侵检测第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，

15、其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。1.2.2.2.2 智能化入侵检测即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神华依入侵检测系统9 经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。1.

16、2.2.2.3 全面的安全防御方案即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。华依入侵检测系统10 2.华依入侵检测系统2.1 华依 IDS 系统概述华依入侵检测系统(简称 HYIDS)是一套基于硬件的分布式级联入侵检测系统,通过与硬件系统的深层结合，比任何传统的软件入侵检测系统都更加高效、安全，而且更加实时化,是一套全面、创新、高性能的网络安全系统。华依 IDS 能够实时分析网络外部及网络内部的数据通讯信息，分辨入侵企图，在网络系

17、统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护网络系统的安全。华依 IDS 由探测引擎和控制台组成管理网络，探测引擎带有管理口和双网络接口，双网络接口同时连接两个监控网段，管理口可直接连接到控制台。通过控制台软件对网络中的多引擎进行集中配置、集中管理。整个系统不影响原有的网络构架和网络性能，极大限度地提高了整个入侵检测系统的安全性。华依入侵检测系统的机箱采用1U 高度，可方便的放入机房的标准机柜中，探测引擎和控制台采用线缆直接连接，加电后自行启动。2.2 华依 IDS 系统功能2.2.1 攻击特征2.2.1.1 攻击特征数目前华依入侵检测系统所能够识别的攻击数达1

18、300多条 ；华依入侵检测系统11 2.2.1.2 灵活策略设置华依IDS有系统提供的规则策略，用户也可以自定义规则策略。2.2.1.3 攻击特征库更新频率和方式使用华依入侵检测系统软件中的自动升级精灵可以方便地通过互联网下载最新的规则特征库，以及最新的软件版本，省去了用户繁琐的操作。2.2.2 软件分发技术 通过软件分发技术，控制台可以将最新的规则特征库和最新的引擎信息通过内部网络分发到每个探测引擎上，充实探测引擎规则特征库，而不需要到每个探测引擎上去分别更新。2.2.3 IFI 技术强大的国产防火墙接口技术，可以动态配置国产防火墙，形成动态的防御体系。IFI是华依入侵检测系统提出的入侵检测

19、系统同防火墙的接口规范。2.2.4 水晶报表技术采用同国际公司一样的报表技术，为客户提供形式多样的报表，并根据中国管理体系的特色，分别提供给网管人员，管理人员，安全专家的报表，以保证报表信息的实效性。2.2.5 探测引擎可同时监控多个网段 华依 IDS 克服了传统 IDS，一个探测引擎只能监控一个物理网络的局限，华依入侵检华依入侵检测系统12 测系统专用的硬件入侵探测引擎，可以同时对多个物理网络进行监控，大大节约了用户的设备投入成本。在入侵规则技术上，也对多物理网络的情况，做了相应的入侵检测描述。 2.2.6 支持网桥工作方式在特殊情况下，华依入侵检测系统可以采用网桥的方式来监控网络的入口，这

20、种方式有利于在交换网中对网络的全面监控，并具备基本的防火墙功能。2.2.7 通过 AppSwitch 方式支持 1000M 网络方式通过 AppSwitch 技术，华依入侵检测系统可以通过多台硬件引擎的并行处理，来达到对千兆网络的支持。 2.2.8 抗攻击能力2.2.8.1 抗针对 IDS 的 DOS 攻击 攻击者向被保护网络发送大量的数据，超过 NIDS（基于网络的 IDS 系统）的处理能力界限，将会发生丢包的情况，从而可能导致入侵行为漏报。华依入侵检测系统已具有针对IDS 的 DOS 这种攻击的抵抗能力。2.2.8.2 探测引擎和控制台互相认证 华依入侵检测系统的探测引擎和控制台被授予证书

21、，只有相同证书的探测引擎和控制台才能够相互通信，防止第三方与探测引擎和控制台通信，从而防止第三方接管探测引擎或控制台。 华依入侵检测系统13 2.2.8.3 通信加密 采用了加密通信方式，由于探测引擎和控制台之间的通信是采用 TCP/IP 协议来进行的，TCP/IP 协议本身没有任何安全措施，因此通信内容有可能泄漏，如果探测引擎和控制台的通信可以被攻击者成功攻击，将影响系统正常的使用。华依入侵检测系统实现加密/专用的协议，可以进一步保障通信的安全。2.2.8.4 抗反 IDS 技术 华依入侵检测系统具有抗反 IDS 技术，具体指对绕过 IDS 的攻击方法的检测能力。 2.2.9 报警与警告2.

22、2.9.1 实时警告通知 网络内一旦有符合特征的可疑行为发生，华依入侵检测系统将及时报警，以不同方式立刻通知系统管理员。 2.2.9.2 防止未经授权访问文件或试图获得根、超级用户的控制 这是两种入侵行为。一种是未经授权的文件访问，一种是获取型的攻击方法。华依入侵检测系统能有效防止这两种入侵行为。 2.2.9.3 检测失败的访问请求 检测失败的访问请求往往有助于确定入侵，在网络正常工作的情况下，非授权的访问往往会失败，例如不知道口令等原因，而授权用户往往是成功。华依入侵检测系统14 2.2.9.4 跟踪成功的访问 跟踪成功的访问是指入侵成功后的网络行为的追踪能力。这样可以监控入侵的全过程。2.

23、2.9.5 报告远程用户试图进入的准确端口 该功能指对目标地址和端口的识别能力。 2.2.9.6 警告通知方式 华依入侵检测系统在发现可疑行为后的报警方式有：NT 消息、系统日志通报、发送EMAIL、声音报警、传呼告警、指定程序运行、呼机消息、手机短消息等等。2.2.10 集成性可以集成的防火墙产品是指符合 OPSEC 标准的(如 CheckPoint),符合 IFI 标准的(几乎所有的防火墙都可以编写 IFI 接口程序) FireWall 均可以（比如：Netscreen） 。可集成的路由器产品：CISCO。可以动态修改 Cisco 访问列表。2.2.11 报告2.2.11.1 自动将事件信

24、息记录到关系数据库中 华依入侵检测系统自动将安全事件加入到关系数据库中，从而可以对事件进行事后的分析处理。 2.2.11.2 提供报告向导 华依入侵检测系统报告向导可以一步一步指导用户生成符合他需要的时间报告。 华依入侵检测系统15 2.2.11.3 提供可定制的报告 用户名，目标，活动，事件，日期，概要，URL，站点，域，内容。 2.2.11.4 获得报告的时间可定义 华依入侵检测系统可要根据用户的需求，定义获得报告的时间。 华依入侵检测系统在设计时参考了国内外各种入侵检测系统的资料，在功能上可以做到“人无我有，人有我优“，在设计过程中，针对不同的应用情况，在网络核心与各级应用采用专用算法进

25、行优化，不仅可以保证数据安全，同时，对网络上的数据流量没有影响。2.3 华依 IDS 运行机制华依IDS由两部分组成：探测引擎和控制台。2.3.1 探测引擎华依IDS探测引擎是硬件化的分布式引擎，它能实时监视流经网络的所有数据包，根据用户选择或定义的条件进行探测，识别网络中存在的攻击信息或攻击企图，一旦检测到攻击信息，立刻向控制台发出报警，并由控制台给出定位显示，动态地提示系统管理员，从而阻止入侵事件的发生。探测引擎能分析所有TCP/IP网络的数据包，为用户提供了最全面有效的入侵检测能力。探测引擎的双网卡设计同时连接两个网络，分别监视流经两个网络的数据包，分别将数据包内的内容与各自的规则库特征

26、码进行匹配，一旦发现带有攻击内容的数据包，则立刻发出警报或者记录入侵事件。华依入侵检测系统16 2.3.2 控制台华依IDS控制台是一套运行于Windwos系列操作系统的高性能的智能化管理系统。它能集中管理本地或远程网段的多个探测引擎及控制台。 它以动态的扫描界面显示各个引擎所监控的网段中的每台主机，当发现入侵行为时，它能以闪烁的方式显示具体受入侵的主机位置，并且详细显示入侵告警信息，包括源IP地址、端口，目的IP地址、端口，攻击特征等信息。它还提供对事件响应的在线帮助，以最迅速的方式阻止入侵行为。附录 1 华依 IDS 系统配置1 运行环境华依入侵检测系统可以运行于现今的各种网络环境中，适用

27、于各种复杂的网络构架和网络系统。2 系统配置2.1 控制台配置操作系统：Microsoft Windows NT 4.0(sp6)/2000/XP 简体中文版及以上版本(建议使用windows 2000 professional 简体中文版)CPU： Intel Pentium III 1000 MHz (推荐使用 Pentium IV)内存： 512MB 硬盘： 安装需要 40 MB ，运行时日志需要 4GB显示： 建议使用1024 x 768分辨率，16Bit色以上的显示模式(推荐使用大字体)网卡： 10/100 MB Windows兼容网卡华依入侵检测系统17 其它设备：光驱，声卡（建议

28、使用）2.2 探测引擎配置10/100M 自适应以太网接口2个10/100M 管理口1个RS-232 9 PIN 配置口1 个附录 2 华依入侵检测产品说明1 产品清单 探测引擎 （1 台） 以太网线 （2 条）分别用于引擎两个网口连接各自监控的网络 网络对连线 （1 条） 用于控制台和引擎之间的连接 串口对连线 （1 条） 用于通过超级终端初次配置引擎时与计算机相连 电源线 （1 条） 控制台软件光盘 （1 张） 安装手册及用户手册光盘 （1 本） 保修卡 （1 张）2 产品规格结构特点 1U 高度，采用垂型钢型材，1.2-1.5mm，日本进口风冷系统 4 个进风风扇，一个出风风扇，形成正压防尘系统对角排列风扇形成涡流散热系统控制 电源开关状态指示灯 电源指示灯，系统运行状态指示灯，告警指示灯电源 200W尺寸（mm） 300（长）*430（宽）*45（高）工作温度 050(32122F)华依入侵检测系统18 相对湿度 5%95%，非凝结3 技术性能华依IDS能管理多个物理网段，适用于10/100Mbps的以太网。