鹰眼网络入侵检测系统技术白皮书Word格式.doc

资源描述

鹰眼网络入侵检测系统技术白皮书Word格式.doc

《鹰眼网络入侵检测系统技术白皮书Word格式.doc》由会员分享，可在线阅读，更多相关《鹰眼网络入侵检测系统技术白皮书Word格式.doc（21页珍藏版）》请在冰豆网上搜索。

鹰眼网络入侵检测系统技术白皮书Word格式.doc

6.6. 高可用性的界面设计 10

6.7. 大规模网络下的入侵检测能力 10

6.8. 完备的自身安全性设计 11

6.9. 硬件的高可靠性设计 12

7. 产品典型应用环境 13

7.1. 鹰眼网络入侵检测系统 13

7.2. 鹰眼分布式网络入侵检测系统 14

8. 产品技术指标 15

8.1. 产品硬件规格 15

8.2. 网络支持 16

8.3. 检测效率 17

8.4. 攻击特征 17

8.5. 抗攻击能力 17

8.6. 响应方式 18

8.7. 系统稳定性 18

鹰眼网络入侵检测系统技术白皮书第3页共21页

三零盛安鹰眼网络入侵检测系统技术白皮书

1.公司简介

三○盛安信息系统有限公司是由中国电子科技集团公司第三十研究所控股的成都三○信息系统工程有限公司（三○信息）与四川三○卫士安全软件（安全软件）有限公司合并组建而成，是专业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的高科技企业。

创建于1965年的中国电子科技集团公司第三十研究所是由国家认定的，唯一以全所力量从事信息安全和保密通信网络研究及工程建设的专业研究所，建有博士后流动站和国家级的"

国防科技保密通信重点实验室"

。

三○盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者，肩负着开拓信息安全新领域的重任。

公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服务，包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服务，并能根据不同用户需求提供各类定制产品和服务。

目前公司的业务已覆盖了电子政务、电子商务以及金融、电信、电力、交通、教育、科研院所等领域，客户遍及全国并向海外延伸。

公司已在北京、上海、西藏、兰州等地设立了分公司或办事机构，为用户就近提供方便优质的服务。

三○盛安是国家首批认定的软件企业和高新技术企业。

公司严格按照ISO9001、CMM质量保证体系管理软硬件产品的研发、生产、销售以及工程、服务等。

公司不仅先后获得了涉密计算机网络设计及施工定点单位、信息安全服务等方面的资质，而且还是国家计委信息安全专项、科技部国家863信息安全专项承担单位。

公司研发的产品均已通过了各领域信息安全产品测评机构的测评认证。

三○盛安高度重视与战略伙伴的合作，先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。

在安全领域我们正与多家著名安全产品厂商结成联盟，就多层次信息系统安全防护体系的建立进行广泛合作，以满足用户日益增长的需求。

三○盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀，凝聚优秀的高科技人才群体，为铸造中华民族的信息长城而不懈努力。

2.产品概述

随着近年来互联网络的迅速普及，网络的安全问题日益严重，各种网络攻击行为给企业、政府带来巨大的经济损失，甚至使国家的安全与主权受到威胁，网络信息安全近年来已受到普遍关注。

由于攻击技术的不断发展，攻击手段的不断丰富，攻击所带来的危害愈加严重，防范攻击的难度不断增加，入侵检测产品作为一种高效、准确和智能化的网络攻击检测工具得到了广泛的关注和认同。

它采集信息系统中的网络数据，系统日志，服务状态，资源使用状况等信息，进行综合分析和比较，判断入侵行为的发生，并采用多种不同手段记录攻击，实时告警，阻断攻击者的进攻，从而增强用户网络和信息系统的安全。

作为国内最早从事信息安全研究的中国电子科技集团公司第三十研究所的下属公司，三零盛安公司很早就开展了对入侵检测技术的跟踪和研究，并从1999年开始，陆续在国内市场上推出了多款针对不同应用环境的入侵检测产品，在入侵检测技术和攻击技术的研究和跟踪上也一直处于国内同行前列。

鹰眼网络入侵检测产品系列已经通过各种国家权威机构的测评和认证，包括国家公安部安全检测中心的测试、国家安全部信息安全产品测评中心、国家保密局、解放军信息安全产品测评中心、银行等机构，获得了相关的产品资质证书，充分证明了鹰眼产品是稳定、可靠、高效的网络安全产品。

3.产品体系结构

鹰眼网络入侵检测系统以操作系统的网络数据零拷贝采集技术为基础，以自主设计的入侵检测引擎为核心，对网络数据进行特征分析，实时捕获各种攻击行为。

产品提供单机和分布式两种架构，能够完成大规模信息网络中的多点检测，集中管理，中心能够完成数据的二次分析与存储，并提供多种不同的报警方式，注重互动和协作能力，形成全方位的入侵防御体系。

其体系结构图如下：

4.产品规格

鹰眼产品为了满足不同用户的不同需求，按照体系架构和应用环境的不同，可以为用户提供如下不同规格的产品：

n鹰眼网络入侵检测系统NIDS-S

NIDS100-S：

百兆入侵检测

NIDS1000-S：

千兆入侵检测

n鹰眼分布式网络入侵检测系统

NIDS100-DxE：

分布式百兆检测引擎

NIDS1000-DxE：

分布式千兆检测引擎

NIDS1000-DxC：

分布式入侵检测系统控制中心

5.产品功能特征

强大的入侵检测功能

鹰眼网络入侵检测系统提供强大的入侵检测功能，目前可以检测的攻击类型有23大类，共计890余种入侵行为：

序号

规则大类

描述

后门程序攻击

检测攻击者试图通过目标系统中的安装的后门程序，控制目标系统，损害系统安全的行为。

缓冲区溢出攻击

检测攻击者通过目标系统的各种应用服务的软件实现中存在的缓冲区溢出漏洞，控制目标系统的攻击行为。

扫描器攻击

检测攻击者使用各种扫描器软件，搜索攻击目标并收集目标系统中的系统信息及安全漏洞的行为。

密码破解攻击

检测攻击者使用密码破解工具，猜测目标系统的用户口令，以获取口令的方式进入系统的攻击行为。

拒绝服务攻击

检测攻击者通过抢占目标系统资源阻止合法用户使用系统服务，或使系统崩溃的行为，与分布式拒绝服务攻击相比较规模较小。

分布式拒绝服务攻击

检测攻击者通过网络中的多台被控主机，同时对目标系统发起攻击，抢占目标系统资源，阻止合法用户使用系统服务或使系统崩溃的行为。

FINGER服务攻击

检测攻击者针对UNIX系统或LINUX系统中开放的finger服务，获得目标主机中的帐户信息，登录时间，登录次数等相关信息的行为。

FTP服务攻击

检测攻击者通过目标系统中的ftp服务的安全漏洞实施的各种攻击行为，如用户口令猜测，使用空用户或超级用户登录，读取或修改一些特殊的系统文件的行为。

TELNET服务攻击

检测攻击者通过目标系统中的telnet服务的安全漏洞实施的各种攻击行为，如用户口令猜测，修改系统环境变量，缓冲区溢出攻击等行为。

RPC服务攻击

检测攻击者利用目标系统中的提供的各种远过程调用服务中的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出，强制执行远程命令的行为。

DNS服务攻击

检测攻击者通过目标系统中的DNS服务的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出攻击等行为。

邮件服务器攻击

检测攻击者针对LINUX系统或UNIX系统中的sendmail邮件服务器的安全漏洞，发起的攻击行为，如帐号试探，利用内部邮件服务器转发邮件，缓冲区溢出等。

数据库服务器攻击

检测攻击者针对WINDOWS系统中使用的SQLSERVER服务器的设计和实现漏洞发起的各种攻击行为

XWINDOW服务器攻击

检测攻击者针对LINUX系统中XWINDOW服务器的安全漏洞发起的各种攻击行为。

ICMP协议攻击

检测攻击者通过各种不同的攻击程序发出的探测目标主机是否存在的ping包以及针对ICMP协议的安全漏洞发起的攻击行为，如路由信息试探，DOS攻击等。

NETBIOS协议攻击

检测攻击者利用netbios协议的安全漏洞实施的各种攻击行为，如获取目标系统的用户权限，以及访问目标系统共享文件资源，缓冲区溢出攻击等。

TFTP协议攻击

检测攻击者利用目标系统中的TFTP服务的安全漏洞实施的各种攻击行为，如越权访问，缓冲区溢出攻击，强制执行命令等。

CGI类型攻击

检测攻击者利用各种WEB服务器中的缺省CGI程序的实现漏洞实施的攻击行为，如获取系统信息或者访问权限，强制执行shell命令等。

COLDFUSION类型WEB服务器攻击

检测攻击者利用COLDFUSION类型的web服务器的安全漏洞，如未公布的管理函数，及脚本漏洞等实施的攻击，如得到或设置web服务中的数据源的缺省密码和用户名，获得非法访问权限，发动DOS攻击等。

FRONTPAGE类型WEB服务器攻击

检测攻击者利用FRONTPAGE类型的WEB服务器中存在的安全漏洞发起攻击，如获得非法访问权限或通过缓冲溢出导致系统崩溃等。

IIS类型WEB服务器攻击

检测攻击者利用IIS类型的WEB服务器中的安全漏洞实施的攻击行为，如取得文件源码，获得访问权限，越权查看文件或目录，及缓冲区溢出等。

其他类型WEB服务器攻击

检测攻击者利用目标系统或设备中的WEB服务器（如IOS，NETSCAPE）的安全漏洞实施的攻击行为，如获取系统信息，获取账户信息，缓冲区溢出攻击等。

其他类型攻击

检测攻击者利用一些非主流的协议或设备中存在的安全漏洞实施的攻击行为，如修改路由表信息，发送路由数据包，测试内部主机的网络拓扑，缓冲区溢出等。

功能强大的搜索引擎

面对海量的入侵记录，用户如何才能找到自己关心的内容？

鹰眼网络入侵检测系统向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录。

实时、全面、丰富的入侵检测分析报告

根据入侵检测记录的结果，我们将通过周期性的审计分析，以在线方式为用户提供全面，详细，丰富的入侵检测分析报告，反映用户在一个周期内受到的攻击类型，严重程度，发生频率，攻击来源，详细数据等诸多信息。

我们更为用户提供了丰富的分析图表，帮助用户随时对自己的网络安全状况作出正确的评估。

历史记录的统计分析、查询和下载

鹰眼网络入侵检测系统在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能，同时还定期将数据打包，供用户下载。

多样化报警和响应方式

鹰眼网络入侵检测系统一旦检测到入侵行为，可以通过多种方式进行报警。

并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，切断攻击，从而保护本地主机的安全。

鹰眼网络入侵检测系统具有以下五种报警响应方式：

a）WEB控制台的“入侵报警灯”

报警灯位于WEB操作界面左上方，

u若灯为绿色，则表示无入侵行为发生过；

u若灯变为红色，则表示曾有入侵行为发生过；

u若灯在不停地闪烁，则表示当前有入侵行为正在发生。

b）电子邮件报警

鹰

展开阅读全文