JUMP网络入侵检测系统技术白皮书v2.8Word格式文档下载.doc
《JUMP网络入侵检测系统技术白皮书v2.8Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《JUMP网络入侵检测系统技术白皮书v2.8Word格式文档下载.doc(13页珍藏版)》请在冰豆网上搜索。
入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
它可以防止或减轻上述的网络威胁。
2.产品概述
Jump®
入侵检测系统是一款专门针对黑客攻击行为而研制的网络安全产品。
该产品采用国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。
在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。
本系统采用业内领先的攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
系统具有强大的功能、方便友好的管理机制,是一个拥有完全自主版权、实用性强的安全产品,可广泛应用于金融、教育、政府机关、军队和中小型企业等企事业单位。
3.技术指标及硬件配置
以太网接口
数目
3个
端口速率
10/100M
端口协议
IEEE802.3
物理接口
RJ-45标准
控制台端口
1个,速率为9600bps
存储器
FLASH
32MB
DRAM
128MB至1GB(因探测器平台区别而不同)
并发连接数
100万
工作电源
电压:
220VAC,频率:
50~60Hz,电流:
0.6A
额定功率
40W±
10%
工作温度
-10~60℃
环境湿度
10~90%不结露
外形尺寸
1U标准机箱
4.基本功能及特点
4.1.实时检测入侵功能
可以实时地对网络上的攻击进行监测,一旦发现可疑信息,入侵检测可准确显示其数据目标和来源,及时向管理员告警。
4.2.丰富和友好的管理界面
所有的入侵监测系统提供友好的人机界面,使得管理员易于操作和管理整个入侵监测系统。
采用可视的管理、监视、控制和分析操作界面,方便使用。
对于高级用户,更可以自定义告警中心界面,针对告警的不同关心等级或其它策略进行告警分类。
4.3.对报警信息的检索、查询和统计
管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计。
4.4.全新的离线报警方式
除了常规屏幕显示报警信息,系统还可以自动将报警信息传送到管理员的E_mail信箱,并同时提供声音报警。
4.5.多种类型的报表
对管理中心的日志信息可以采用多种形式显示出来,如以表、柱型图、饼图、曲线图、web报表统计等形式显示结果。
更可自定义报表,极大地提高了对于网络安全状况的分析能力。
报表可经由多种途径向管理员呈现(如html,E-mail等),是管理员随时随地能够以最为便捷的方式获知网络状况。
4.6.数据的安全通信
引擎与管理中心之间的数据通信是经过安全加密(SSL协议)和认证的,只有正确安装证书和密钥的控制台,采可与引擎之间进行通信。
自身系统的安全万无一失。
4.7.引擎的实时监测与管理
在管理中心,系统管理员可以实时地获取到引擎的状态信息,并可以对引擎进行启动、停止等管理。
4.8.入侵检测规则的自定义
用户可以自己定义一些入侵检测规则,加入到引擎的规则库中去,更加灵活地进行入侵检测。
4.9.开放式的插件机构
系统检测能力不断增长,包括入侵规则的自动升级和更新。
随时更新的入侵规则能最大的保护用户的网络。
4.10.断开网络功能
Jump入侵检测系统提供断网功能,对于一些恶意的攻击行为,可在系统中设置为阻断,一旦系统检测到相关的攻击行为,可以将此连接从网络中断开,保证网络的安全。
多种断开网络的方式可自由选择,在大型复杂网络中更得心应手。
4.11.详细的安全知识库
可以由管理中心给用户提供关于安全规则及攻击事件的详细信息及针对事件的描述。
不但发现入侵,更能准确应对。
4.12.超强的网络适应能力
数据采集器与探测引擎的关系是一对多的关系,在比较大的网络环境中可以部署多个探测引擎,每个负责一个子网的数据流的实时采集与重组工作,适合与在各种不同拓扑、不同规模的网络环境中使用。
数据采集器与探测引擎采用TCP/IP协议通信,可以跨越路由器、防火墙。
4.13.强大的安全审计回放功能
能够对HTTP,SMTP,POP3,FTP,TELNET等协议根据制定的审计规则进行实时审计,同时可以完全回放报警数据流,使得网络管理员可以实时发现并跟踪,以及保留一个非法访问的数据流。
4.14.丰富的网络监测功能
针对常用的网络工具,特别为用户开发了针对MSN,QQ,Popo以及BT,ftp等多种网络应用的监测。
不但监测入侵,更能对内部网络出现的隐患进行及时排查。
4.15.在线升级
捷普入侵检测系统(JIDS)提供在线升级的能力,用户可以通过我们的网站了解产品动态升级的最新情况,网络管理员可以在管理中心直接进行对其规则库进行升级,使入侵检测系统一直保持最良好的表现。
1
5.总体架构
JUMP入侵检测系统采用分布式、模块化的设计思想,整个系统包括传感器、数据采集器和控制台三个组成部分。
传感器-------传感器以软硬结合的方式实现,针对入侵检测对性能的需求,我们研制了专用的硬件平台(如下图中所示),
其上运行我们自主开发的安全操作系统,这样既保证了优异的性能,又保证了我们平台的安全性;
传感器的主要作用是实时、高速地对网络上传输的数据进行采集,完成数据流的重组并发往数据采集器进行审计;
基于明文审查的阻断功能也由传感器来完成。
传感器通过旁路的方式部署在用户网络中,不用改变用户网络的拓扑结构,普通上网用户也感觉不到它的存在,对用户网络性能的影响降低到最小。
如果用户的网络规模过大,划分为不同的子网,可以在每个子网中部署一个传感器,负责该子网的数据采集工作。
数据采集器--------数据采集器以软件实现,它在Windows上以后台服务的方式运行,每次用户主机启动都会自动运行该服务。
数据采集器的主要工作是从传感器接收其收集到的入侵检测信息以及审计原始流数据信息,然后将报警信息发送给控制台,如果有入侵检测规则,还要调用相应地审计模块完成数据的还原与审计工作,并也将向控制台发送告警消息。
控制台--------控制台也是以软件实现,提供Windows下的图形化界面,方便用户使用。
它是网络管理员操作系统的人机界面,通过它可以设置各种入侵检测和审计规则,并看到数据采集器发来的告警信息,浏览历史数据,生成各种报表和统计分析数据等。
6.安全策略
6.1.IDS策略
捷普入侵检测系统还内置了标准的IDS模块,针对需要检测的事件提供分类全面的策略集以及具体策略的配置方式和响应方式。
系统策略集按检测范围分为十二大类,其中包含了1400余种入侵规则,包括TCP、UDP、ICMP、IPX、HTTP、FTP、telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、finger、ssl、NETBIOS等协议类型,同时系统还支持规则库的更新,用户可以从捷普公司的主页上下载新的规则库,完全可以抵御当前网络上如BIND版本探测、NMAP_TCP端口扫描、IMAP_用户名探测,TELNET_注册失败、FTP_注册失败、RLOGIN_注册失败,冰河、黑洞、Subseven、Netsphere、BO、NETBUS后门等一些常见的入侵行为。
l最大事件集
l最小事件集
l邮件服务器事件集
l网络行为检测事件集
l其它事件集
l木马检测事件集
l病毒检测事件集
lWindows主机专用事件集
lWeb事件集
lUnix/Linux主机专用事件集
lTelnet事件集
lFTP服务器事件集
除了系统提供的规则库,策略集还可以由用户在衍生的基础上自主调整具体的策略应用,形成用户定义的策略集。
可以根据需要对IP,TCP,UDP,ICMP等协议量身定做自己的检测规则。
同时,针对具体事件的检测策略,系统还提供了灵活的策略编辑方式,确保用户在最短的时间内产生自己所需要的策略,及时的将其应用于实际网络。
6.2.日志管理
捷普入侵检测系统为了方便用户对网络使用情况能有一个准确的掌握,系统提供了日志查询与审计管理功能。
入侵检测日志管理分为三种方式:
审计查询管理、IDS查询管理、系统报表,其中两种查询管理都包括统计和分析两部分,表现形式包括:
饼图、直方图、曲线图、表格等,规则的灵活配置可以最大程度的满足用户要求,完全按照自己需要提取相关信息,避免其他烦杂信息的干扰,提高分析结果的精确性。
查询管理统计部分设置的主要规则包括:
时间范围、源和目的IP、探测器IP、关键词、协议类型等;
分析部分设置的规则除了以上的还包括高级规则设置(邮件地址、报警级别、URL地址、关键词信息),譬如关键词信息是对这一数据包中的关键词进行统计,给用户一个直观的关键词出现次数。
IDS查询管理部分包括:
IDS统计分析、IDS查询与浏览两部分。
其对应的主要规则包括:
时间范围、源和目的IP、端口范围、探测器IP、报警事件类型、报警等级等;
譬如报警事件类型是对这一捕获数据包中的事件类型进行统计,给用户一个直观的该攻击事件发生次数。
系统报表主要包括系统报表和用户自定义报表两部分,报表表现形式包括:
WEB格式(HTML)、打印格式(PDF、WORD、RTF、TXT)、数据(EXCEL、XML、CSV等)、其它通过开放API的格式。
系统报表包括:
统计简报、管理报表、执行报表、技术报表四大类,规则设置包括:
相对时间和实时时间、检索条件集合(事件类型、源IP、目的IP、报警严重级别),进行实时查询浏览;
用户自定义报表简单易用,给最终用户提供了实时按需裁剪报表结果的很大灵活性,用户只需使用下拉框或者其它的用户友好的机制就可以完成这一功能。
其对应的规则包括:
事件类型、探测器IP、报表导出形式、报表时间类型(年度、季度、月、日报表等),是否发送邮件报表等。
其中是否发送邮件报表将按照报表时间类型定期向管理员发送邮件报表,极大的降低了网络管理员的工作强度。
6.3.审计规则设置
目前互联网的用户在浏览网页、收发邮件、传输文件、远程控制等一些列活动时,主要涉及的是HTTP,SMTP,POP3,TELNET,FTP五种协议。
JUMP入侵检测系统针对这五种协议,分别对每种协议的活动和数据进行采集,还原,分析,实时的向网络管理员发出报警消息。
针对每种协议,系统提供了不同的审计规则,如下面结构图所示:
HTTP协议主要的审计规则为时间,IP范围,端口,浏览页面大小,浏览网站的URL,基于内容的关键词以及违反规则的网页回放;
有效的防止对非法、不健康等网页的访问。
邮件协议(SMTP,POP3)主要提供的规则有时间,IP范围,端口,邮件大小,附件大小,附件个数,单个附件大小,邮件正文大小