阿里云代理商-阿里云服务器-阿里云数据库-重庆典名科技

高性能入侵检测系统与技术

发布时间: 2020-09-15 10:37:46文章作者: 网站编辑阅读量: 199
  高性能入侵检测系统与技术
  
  1 高性能入侵检测系统分类
  
  根据检测对象的不同,高性能入侵检测系统分为基于主机的高性能入侵检测系统、基于网络的高性能入侵检测系统和分布式高性能入侵检测系统。
  
  (1)基于主机的高性能入侵检测系统:通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是此类入侵检测系统的弱点之一,入侵者通常会将主机审计子系统作为攻击目标以避开高性能入侵检测系统。
  
  (2)基于网络的高性能入侵检测系统:通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无须顾及异构主机的不同架构。
  
  (3)分布式高性能入侵检测系统:目前这种技术在ISS的RealSecure等产品中应用。它检测的数据也来源于网络中的数据包,不同的是它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的高性能入侵检测系统,只是没有用户操作界面。黑匣子用来检测所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等分析检测网络数据,并向集中安全管理中心反馈安全事件信息。集中安全管理中心是整个分布式高性能入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量具有一定的影响。
  高性能入侵检测系统与技术
  根据工作方式的不同,高性能入侵检测系统又可分为离线检测系统与在线检测系统。
  
  (1)离线检测系统。离线检测系统是非实时工作的系统,在事后分析审计事件,从中检查入侵活动。事后入侵检测由网络管理人员进行,他们拥有网络安全的专业 知识,根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,因此不具有实时性。
  
  (2)在线检测系统。在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析。其工作过程是在网络连接过程中进行实时入侵检测,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并搜集证据和实施数据恢复。检测过程是不断循环往复进行的。
  
  2 高性能入侵检测系统总体架构
  
  如图2-1所示,典型的高性能入侵检测系统主要由网络监听捕获模块、IPv4/IPv6协议栈解析模块、IP分片重组/TCP流重组模块、入侵/攻击事件检测模块、入侵/攻击事件处理模块、统一管理控制平台、特征库升级中心等部分组成。
  
  网络监听捕获模块负责数据报文的监听、捕获、接收和发送,并和上层的IPv4/IPv6协议栈模块进行交互。
  
  IPv4/IPv6协议栈解析IPv4/IPv6报文,提取报文的网络层IPv4/IPv6信息。IP分片重组和TCP流重组模块负责将分片的报文和分段报文进行排序并重组,防止攻击者通过分片及分段手段进行逃逸。
  
  入侵/攻击事件检测模块负责解析捕获的数据报文,形成的高效签名库对流量和攻击事件进行检测,并根据报文内容分析和检测,准确识别应用层协议的报文。入侵/攻击事件处理模块负责根据入侵/攻击事件检测模块检测的结果进行相应的处理动作,具备简单的阻断功能,并提供告警。
  
  统一管理控制平台是系统的集中管理平台,通过统一管理平台实现高性能入侵检测系统的集中管理和日志报表等分析,包括策略管理、用户管理和升级管理等。特征库升级中心部署在Internet上,按周期定时更新特征库,设备特征库定时与特征库升级中心保持同步。
  
  3 高性能入侵检测系统功能
  
  1.虚拟补丁
  
  基础系统漏洞主要是指操作系统的基本服务或主流服务器软件的漏洞。采用基于漏洞存在检测技术的入侵检测引擎,通过检测攻击特征,能够有效地对抗经过特殊设计的躲避技术,做到“零”误报。从而达到给受保护的操作系统和服务器软件安装“虚拟补丁”的效果。
  
  2.保护客户端
  
  如今主流的攻击很多是面向客户端程序的,浏览器、可编辑文档、多媒体是重点攻击目标,因客户端防护的薄弱使大量的PC被攻击者控制,PC上的重要信息(如银行账户、网络密码等)被窃取。文件解析引擎根据协议与文件格式做深入解析,检测被编码或压缩的内容,如GZIP、UTF等。解析过程中自动跳过与威胁无关的部分,为用户提供浏览器及其插件(Java、ActiveX等)的安全防护,检测PDF、Word、Flash、AVI等文件中的攻击代码以及可能的木马、蠕虫及对操作系统的攻击,保障浏览和应用的安全。
  
  3.协议异常检测
  
  攻击者通常利用网络中很多应用服务器的设计不完善,对协议中的异常情况考虑不足的弱点对服务器加以攻击。通过向服务器发送非标准或者缓冲区溢出的通信数据,进而获取服务器控制权或造成服务器死机。协议解析引擎对网络报文进行深度协议分析,对那些违背RFC规定的行为,或者对于明显超长的字段、明显不合理的协议交互顺序及异常的应用协议的各个参数等进行识别。协议异常检测覆盖的协议有:HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS 等多种常用协议。同时,引擎把内容层面,如XML页面和PDF文件等也作为一种“协议”,如果遇到异常的文件结构,也被认为是一种协议异常,通过这种方法分析出潜藏在文件内容中的缓冲区异常攻击或者脚本攻击等入侵行为。
  
  4.Web应用防护
  
  相比传统被 动的基于静态签名的防病毒和入侵检测技术,高性能入侵检测系统产品采用了积极的安全模式来确保执行正确的应用行为,不依靠攻击特征或模式匹配技术就能识别“好”的应用行为,并阻止任何背离了正确应用活动的恶意行为,在威胁到达终端之前就采取拦截动作。网络智能防护的核心是一个多层次的安全引擎,分析威胁从网络到达最终用户PC的整个过程,具备深层次的协议和隧道分析的能力,在复杂的Web 2.0的交互中检测攻击。
  
  5.流量安全防护
  
  高性能入侵检测系统具备从网络层到应用层的 DDoS 攻击检测能力,可以在DoS攻击发生或短时间内大规模爆发的病毒导致网络流量激增时,自动发现异常流量,提醒管理员及时应对,保护路由器、交换机、VoIP系统、DNS、Web服务器等网络基础设施免遭各种DoS攻击,保证关键业务的通畅。
  
  6.应用识别和控制
  
  高性能入侵检测系统能全面监测和管理IM即时通信、网络游戏、在线视频以及在线炒股等网络行为,协助企业辨识和限制非授权网络行为,更好地为企业执行安全策略,保障员工的工作效率,采用策略限制 P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升网速。
  
  7.IPv6及隧道检测
  
  高性能入侵检测系统支持IPv6/IPv4双栈的漏洞防护,支持纯IPv6、IPv6 over IPv4、IPv6和IPv4混合网络的应用层攻击防护以及DDoS流量异常攻击防护,并完全适应纯IPv6环境及过渡期网络环境。
  
  同时,高性能入侵检测系统还支持对 VLAN 802.1Q、MPLS、IPSec 以及GRE等隧道的流量分析和处理,能够对流量进行识别并解析出内层报文进行检测,从而适应各种复杂的网络。
  
  8.策略管理
  
  高性能入侵检测系统采用灵活的策略配置和管理方式,内置多种威胁防护策略模板,适用于大多数常见场景。各种功能的策略可以任意组合并结合流量包过滤条件,对网络流量检测和控制并进行细粒度的配置。
  
  对于发现的攻击,高性能入侵检测系统提供多种响应方式供用户选择,如Syslog日志、SNMP Trap告警、即时阻断会话、IP地址隔离、和防火墙进行联动、攻击报文抓取回放以及声音、邮件、短信告警等。
  
  9.知识库和引擎升级
  
  高性能入侵检测系统可以即时升级,实时捕获最新攻击、蠕虫病毒、木马等,提取威胁的签名及发现威胁的趋势,能够在最短时间内获取最新的签名,及时升级检测引擎,从而具备防御零日攻击的能力。
  
  签名库每周升级一次,特殊情况下可即时进行升级。为满足设备在各种应用环境下的灵活部署,支持多种升级方式。
  
  自动定时升级:不需用户干预操作,适用于连接到升级服务器的设备。当需要确认新下载的签名库是否安全可用时,可以采用确认机制,定时下载新版本,确认后再应用。
  
  实时升级:更新及时,能第一时间对新产生的攻击进行防御。即当有新版本发布,但未到自动升级时,可手工进行定时升级。优点是实时性高,且能立刻知道升级结果。
  
  本地升级:当设备无法与升级服务器建立连接或者版本不对应升级版本时,可采用本地升级,人工在升级网站下载最新的特征库文件,然后将这个文件导入到设备并加载,将版本切换到本地升级指定的版本。
  
  版本回退:可回退到上一个正常应用版本。如果发现当前版本误报率较高,检测率较低或者其他不合理的因素,可将版本回退到上一个正常应用的版本。
  
  内网升级:一些大企业可能购置多台高性能入侵检测系统,严格的网络管理策略要求这些设备不能直接和互联网相连,每台设备不能独立连接升级服务器进行升级。这时可采用内网升级方案。
  
  10.设备集中管理环境
  
  随着设备的逐渐增多,安全管理的复杂性大大增加,设备的集中管理软件为用户提供设备集中配置管理的功能,能够全面实现安全策略的配置和用户业务管理,减轻用户的维护工作量、保障用户资产。集中管理软件采用B/S架构,在控制台通过浏览器进行访问,支持多用户同时操作,能适应复杂、大型网络的管理需求,采用图形化的配置、维护界面,可以通过直观的Web配置界面完成对大部分设备的业务配置。
  
  软件的集中管理功能主要体现在设备管理、故障监控、策略管理、系统监控以及日志和报表管理等几个方面。
  
  1)设备管理
  
  集中管理软件可自动识别设备类型和型号,同时对全网所有设备进行管理,完成设备的差异性适配,自动获取设备的实体数据,包括机框、单板、电源、风扇、端口、温度、CPU占用率、内存占用率等,支持实体数据的刷新和实体状态的监控,确保维护人员对设备状态一目了然。支持设备的单点配置,将设备内嵌的Web配置集成到集中管理软件界面,用户单击进行连接。
  
  2)故障监控
  
  集中管理软件可以对网络中的异常运行情况进行实时监视,通过告警统计、定位、提示、重定义、告警远程通知等手段,方便网络管理员及时采取措施,恢复网络正常运行,对管理员处理过的告警进行标识,便于区分。
  
  系统提供浏览告警信息、告警查询功能,并且可将常用查询条件保存为告警查询模板。对大量的告警信息,系统支持按照设置的统计条件(告警名称、告警级别、告警功能分类、告警发生时间、告警状态等)对告警信息进行统计,使用户可以快速了解告警发生的情况。
  
  为了避免大量的冗余信息,集中管理软件支持设置告警屏蔽功能,根据设置的屏蔽条件,对不重要的告警进行屏蔽,既不显示,也不保存。
  
  3)策略管理
  
  集中管理软件需要从全局角度对所有设备实现集中管理、集中制定安全策略,当分支机构较多时,采用统一的安全策略和统一监控,避免分支机构各自定制安全策略,引发网络混乱。管理员只需一次性地定义一条策略,然后将其部署到多台设备中。对于设备升级的场景,集中管理环境支持集中部署在线升级策略,并且可以进行全网设备的集中本地升级。
  
  系统提供设备策略发现功能,可以将新设备的配置通过发现功能管理软件自动进行管理;提供策略部署成功、失败、审计不一致、设备命令变更的状态,使管理员对设备配置现状一目了然。
  
  用户管理员和权限管理对于安全管理至关重要,入侵检测集中管理软件除了预置常用管理员、操作员、审计员用户组外,还支持用户根据实际情况创建自己需要的用户组并设置相应的管理和操作权限。根据用户权限,实现用户的分级管理,保证系统的安全性。
  
  4)系统监控
  
  入侵检测集中管理软件的系统管理功能主要是对管理软件本身的系统进行维护和管理,而不是对设备的管理。除了对软件自身的安全操作事件进行监控外,还包括日志管理、数据库管理、通信参数管理等内容。系统监控的功能需要监控系统或进程的启动/停止服务,通信模式设置,提供工具实现自身的进程、内存占用率、CPU使用率、硬盘空间情况监控,一旦超过设置的阈值,即产生告警。
  
  为保证数据安全,应定期进行数据库的备份。高性能入侵检测系统的数据库备份管理系统提供统一的数据库备份与恢复工具,以减小网管数据库的维护难度。集中管理软件支持数据库的转储功能,转储数据库中的数据包括操作日志、安全日志、告警数据、事件数据及多种性能事件。用户可选择启动手工转储,设置溢出转储或周期转储的方式。
  
  5)报表管理
  
  作为安全产品,日志和报表的展现具有重要的用户价值,通过日志和报表,用户可以及时掌握网络状况,对网络的流量和安全情况有整体的认识,及时对不正常的行为进行审计和分析,并且可以依据已知信息对受保护的系统进行安全加固以及对网络的安全策略不断调整优化。
  
  入侵检测集中管理软件提供丰富的报表功能。预置的综合报表包含了很多用户需要重点关注的信息内容,对不同设备的网络流量、应用协议分布、漏洞和流量威胁发生的情况进行分析,从多个维度分析关键事件的排名,以多种形式的图表相结合,给用户最直观的展示。除了预置的综合报表,系统还为用户提供灵活的制定报表方式,可选择多个报表子项进行组合,定时生成日报、周报和年报,并且生成可编辑的报表格式并以邮件方式发送给用户,用户可以根据需要对报表内容和格式进行再次编辑。
  
  入侵检测集中管理软件提供多维度的日志查询系统,用户可以以不同的组合条件对日志进行过滤查询,在海量数据中寻找需要的关键信息。
联系客服免费领取更多阿里云产品新购、续费升级折扣,叠加官网活动折上折更优惠