綠盟科技網絡入侵檢測系統解決方案

領測軟件測試網

一 前言

隨著信息化技術的深入和互聯網的迅速發展，整個世界正在迅速地融為一體，計算機網絡已經成為國家的經濟基礎和命脈。眾多的企業、組織與政府部門都在組建和發展自己的網絡，并連接到I

nternet上，以充分共享、利用網絡的信息和資源。計算機網絡在經濟和生活的各個領域正在迅速普及，其地位越來越重要，整個社會對網絡的依賴程度越來越大。

伴隨著網絡的發展，也產生了各種各樣的問題，其中安全問題尤為突出�，F在，網絡中蠕蟲、病毒及垃圾郵件肆意泛濫，木馬無孔不入，DDOS攻擊越來越常見，網絡資源濫用（包括P2P下載、IM即時通訊、網絡游戲、在線視頻等行為），黑客攻擊行為幾乎每時每刻都在發生，所有這些極大的困擾著包括企業、組織、政府部門與機構等在內的各種網絡用戶。

能否及時發現網絡黑客的入侵、有效的檢測出網絡中的異常行為，成為所有網絡用戶面臨的一個重要問題。

二 為什么需要入侵檢測系統

隨著網絡的普及，網絡安全事件的發生離我們越來越近，我們可能遇到如下情況：

·公司的網絡系統被入侵了，造成服務器癱瘓，但不知道什么時候被入侵的；

·客戶抱怨公司的網頁無法正常打開，檢查發現是服務器被攻擊了，但不知道遭受何種方式的攻擊；

·公司機密資料被竊，給公司造成巨大的損失，但是檢查不出是誰干的；

·公司網絡癱瘓，檢查出遭受蠕蟲病毒攻擊，但是不知道如何清除和避免再次遭到攻擊；

·公司網絡被入侵了，安全事件調查中缺乏證據。

根據調查數據顯示，以上情況給網絡管理員帶來極大的困擾，也給企業帶來了巨大的安全風險。如何及時的、準確的發現違反安全策略的事件，并及時處理，是廣大用戶迫切需要解決的問題。

2.1 防火墻的局限

眾多的企業、組織與政府部門都在組建和發展自己的網絡，為了保證網絡資源的安全，企業一般采用防火墻作為安全保障體系的第一道防線，通過訪問控制，防御黑客攻擊，提供靜態防護。

但是隨著越來越多的系統本身漏洞以及應用系統的漏洞被發現，以及攻擊者的入侵方式更加隱蔽，新的攻擊方式層出不窮，所以單純的依靠防火墻已經無法完全防御不斷變化的入侵攻擊的發生。

傳統的防火墻主要有以下的不足：

.. 防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對WEB服務的注入攻擊等。

.. 防火墻無法發現內部網絡中的攻擊行為。

由于防火墻具有以上一些缺陷，所以部署了防火墻的安全保障體系還有進一步完善的需要。

2.2 入侵檢測系統的特點

入侵檢測系統（Intrusion Detection System）是對防火墻有益的補充，入侵檢測系統被認為是防火墻之后的第二道安全閘門，對網絡進行檢測，提供對內部攻擊、外部攻擊和誤操作的實時監控，提供動態保護大大提高了網絡的安全性。

入侵檢測系統主要有以下特點：

.. 事前警告：入侵檢測系統能夠在入侵攻擊對網絡系統造成危害前，及時檢測到入侵攻擊的發生，并進行報警；

.. 事中防護：入侵攻擊發生時，入侵檢測系統可以通過與防火墻聯動、TCP Killer等方式進行報警及動態防護；

.. 事后取證：被入侵攻擊后，入侵檢測系統可以提供詳細的攻擊信息，便于取證分析。

綜上所述，防火墻提供靜態防護，而入侵檢測系統提供動態防護，因此防火墻和入侵檢測系統的結合，能夠給網絡帶來全面的防護。對防火墻和入侵檢測系統的關系有一個經典的比喻：防火墻相當于門衛，對于所有進出大門的人員進行檢查，入侵檢測系統相當于閉路監控系統，監控關鍵位置如財務、庫房等地的安全狀況，僅有門衛是無法發現內部人員的非法行為，而閉路監控系統可以實時監控，發現異常情況及時報警。兩者的配合使用才能保證安全。

三 如何評價入侵檢測系統

入侵檢測系統具有實時檢測、報警和動態響應等功能。是否能夠很好地幫助網絡管理員完成對網絡狀態的把握和安全的評價是入侵檢測系統的基本標準。

入侵檢測系統(IDS）應該從四個方面評價：

.. 準確的、廣泛的入侵檢測能力；

.. 優異的產品性能；

.. 強大的管理能力；

.. 良好的自身安全性。

一個完善的入侵檢測系統（IDS）應該具有以下特點：

.. 實時報警，報警的準確率高，誤報和漏報率低；

.. 不同性能的產品，能夠滿足不同網絡的需求；

.. 操作簡單，易于部署、管理；

.. 自身的安全性高，不易遭受攻擊。

四 綠盟科技網絡入侵檢測系統

針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網絡資源濫用（P2P下載、IM即時通訊、網游、視頻等），綠盟科技提供了完善的安全檢測方案。冰之眼網絡入侵檢測系統（ICEYE NIDS）是綠盟科技自主知識產權的安全產品，它是對防火墻的有效補充，實時檢測網絡流量，監控各種網絡行為，對違反安全策略的流量及時報警和防護，實現從事前警告、事中防護到事后取證的一體化解決方案。

4.1 產品功能

冰之眼網絡入侵檢測系統具有三大功能：

.. 入侵檢測

冰之眼NIDS對黑客攻擊（緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡等進行實時檢測及報警，并通過與防火墻聯動、TCP Killer、發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令等方式進行動態防護。

.. 行為監控

冰之眼NIDS系統會對網絡流量進行監控，對P2P下載、IM即時通訊、網絡游戲、網絡流媒體等嚴重濫用網絡資源的事件提供告警和記錄。

.. 流量分析

冰之眼NIDS對網絡進行流量分析，實時統計出當前網絡中的各種報文流量。

4.2 體系架構

冰之眼網絡入侵檢測系統的體系架構主要由控制臺、網絡探測器及升級站點三個部分組成，方便各種網絡環境的靈活部署和管理。

 

圖表1 綠盟科技網絡入侵檢測系統體系架構

4.3 產品特點

4.3.1 基于對象的虛擬系統

.. 冰之眼NIDS提供業界領先的基于對象的策略管理系統，完全統一的規則配置方式強大而靈活。冰之眼NIDS的所有策略（規則）都使用對象來定義，具有豐富的預定義對象。冰之眼的對象包括網絡對象、

服務對象、時間對象、事件對象。每個對象都支持組的概念，在設置規則的時候可以基于組進行規則設置，組對象可以是單個對象也可是多個對象，或者是二者的組合，通過組的概念可以減少IDS的規則數量，簡化了管理員的管理；

.. 冰之眼NIDS提供基于對象的虛擬系統（VIDS），針對不同的網絡環境和安全需求，基于IP地址（組、段）、規則（組、集）、時間、動作等對象，制定不同的規則和響應方式，每個虛擬系統分別執行不同的規則集，實現面向不同對象、不同策略的智能化入侵檢測；

.. 冰之眼NIDS攜帶了超過1800條經過仔細檢測與時間考驗的攻擊特征，由著名的NSFocus安全小組精心提煉而成。針對每個攻擊均附有詳細描述和解決辦法，對應NSFocus ID、CVE ID、Bugtraq ID，并提供了詳細的修復方法及補丁下載地址；

.. 綠盟科技具有領先的漏洞預警能力，規則庫通過國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審，獲得最高級別的CVE兼容性認證

（CVE Compatible），是目前國內唯一一個向國外（美國）出口入侵檢測規則庫的公司。綠盟科技每月平均提供四到五次升級更新，在緊急情況下可即時提供更新；

.. 冰之眼NIDS支持審計功能，可以記錄網絡的通信報文，并解碼回放，目前支持HTTP、SMTP、FTP、Telnet、POP3協議。

4.3.2 準確細致的檢測技術

.. 冰之眼NIDS全面深入的協議分析技術能夠分析近100種應用層協議，包括HTTP、FTP、SMTP等，極大地提高檢測的準確性，降低誤報率；

.. 冰之眼NIDS通過分析網絡報文中包含的協議特征，發現其所在協議，然后遞交給相應的協議分析引擎進行處理，能夠高速的、智能的、準確的檢測出對運行在任意端口的應用層協議的攻擊行為和標準協議運行在非標準端口行為，準確發現綁定在任意端口的各種木馬、后門，對于運用了Smart Tunnel技術的軟件也能準確地捕獲分析；

.. 冰之眼NIDS通過協議分析，發現任何違背RFC規定后，均視為協議異常。協議異常最為重要的作用是檢測未知的溢出攻擊與拒絕服務攻擊，協議異常具有接近100%的檢測準確率和近乎零的誤報率；

.. 冰之眼NIDS通過對多種尖端檢測技術的綜合運用以及數千種攻擊行為的全面深入分析，可以精確檢測出幾乎所有攻擊的最終結果——成功還是失敗。依據該結果，管理員可以迅速判斷出具有最高風險的安全隱患，并在第一時間做出處理措施加以彌補；

.. 冰之眼NIDS具有的IP碎片重組與TCP流匯聚能力，能夠檢測到黑客采用任意分片方式進行的攻擊，提高檢測效率。

4.3.3 強大豐富的管理能力

.. 冰之眼NIDS同時支持B/S和C/S兩種管理方式。Web管理靈活方便，適合在任何IP可達地點遠程管理，而且Web界面支持 MS IE、Netscape、Firefox、Opera四大瀏覽器，真正意義上實現了跨平臺；

.. 冰之眼NIDS支持三種管理模式：單級管理、多級管理、主輔管理，滿足不同企業不同管理模式需要。

單級管理模式：控制臺直接管理網絡探測器，一個控制臺可以管理多臺網絡探測器。

 

主輔管理模式：網絡探測器同時接受一個主控制臺和多個輔控制臺的管理。主控制臺可以完全控制網絡探測器；輔控制臺只能接受網絡探測器發送的日志信息，不能操作網絡探測器。

多級管理模式：控制臺支持任意層次的級聯部署，實現多級管理。上級控制臺可以將最新的升級補丁、規則模板文件等統一發送到下級控制臺，保持整個系統的完整統一性；下級控制臺可以向上級控制臺傳送日志信息。

 

.. 冰之眼NIDS提供帶外管理（OOB）功能，解決遠程應急管理的需求，減少用戶運營成本、提高運營效率、減少宕機時間、提高服務質量;

.. 冰之眼NIDS事件過濾系統支持采用攻擊發生時間范圍、事件名稱、事件類別、所屬服務、源網絡范圍、目的網絡范圍、觸發探測器、攻擊結果、事件動作等多種粒度過濾探測器所產生的告警日志，僅記錄相關的攻擊告警事件，極大地減小了攻擊告警的數量，提高了對于高風險攻擊的反應速度；

.. 實時在線升級、自動在線升級、離線升級、冰之眼NIDS支持多種升級方式，使NIDS提供最前沿的安全保障；

.. 冰之眼NIDS報表系統提供了詳細的綜合報表、自定義三種類型10多個類別的報表模板，支持生成：日、周、月、季度、年度綜合報表。報表支持MS Word、Html、JPG格式導出。同時支持定時通過電子郵件發送報表至系統管理員；

.. 從實時升級系統到報表系統，從攻擊告警到日志備份，冰之眼入侵檢測系統完全支持零管理技術。所有管理員需要日常進行的操作均可由系統定時自動后臺運行，極大地降低了維護費用與管理員的工作強度；

.. 冰之眼NIDS具有流量分析的功能，不是僅僅通過端口來判斷協議進而統計流量，而是通過分析協議的內容后才進行統計，更精確可靠；能夠產生詳細的流量報表；可以通過編輯自定義統計指定協議流量的IP TOPN。

4.3.4 可擴展的入侵保護

.. 冰之眼NIDS具有良好的可擴展性，僅僅通過數字證書就能很方便、快捷地從IDS升級到IPS，為用戶未來的產品使用提供更廣闊的空間；

.. 冰之眼NIDS支持多個硬件監聽口，監聽口即插即用，提供對多網段的同時監聽能力；

.. 冰之眼NIDS可以與流行的主流防火墻產品（Checkpoint FW-1、Netscreen、天融信、衛士通龍馬等）進行聯動阻斷入侵者；

.. 冰之眼NIDS具有TCP KILLER功能，能夠實時地切斷基于TCP協議的攻擊行為；

.. 冰之眼NIDS支持通過發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令等響應方式及時報警；

.. 冰之眼NIDS提供了基于XML的開放式IDBP（Intrusion Detection and Block Protocol）聯動接口，任何安全產品可以基于此接口與冰之眼NIDS聯動。

4.3.5 高可靠的自身安全性

.. 冰之眼NIDS專門設計了安全、可靠、高效的硬件運行平臺。硬件平臺采用嚴格的設計和工藝標準，保證了高可靠性；獨特的硬件體系結構大大提升了處理能力；操作系統經過優化和安全性處理，保證系統的安全性和抗毀性；

.. 冰之眼NIDS具有更強的高可用性，設備支持熱插拔的冗余雙電源，避免電源硬件故障時設備宕機，提高設備可用性；

.. 冰之眼NIDS采用特別定制的操作系統，與控制臺間的通信采用強加密的SSL加密傳輸告警日志與控制命令，完全避免了可能存在的嗅探行為，保證了數據傳輸的安全；

.. 冰之眼NIDS監聽網口無需設置IP地址，避免了被掃描和攻擊；

.. 冰之眼網絡探測器與控制臺在網絡完全斷開的情況下，探測器仍然會將檢測到的事件在探測器本地保存，等網絡恢復正常自動地同步到冰之眼控制臺，提供日志緩存。

4.4 解決方案

綠盟科技提供一整套的入侵檢測解決方案，實現從企業網絡核心至邊緣及分支機構的全面檢測。冰之眼網絡入侵檢測系統的部署方式靈活多樣，能夠快速部署在幾乎所有的網絡環境中，滿足不同企業不同管理模式需要。

4.4.1 小型網絡之精細管理方案

針對小型網絡，綠盟科技入侵檢測解決方案提供虛擬IDS精細管理方案，通過基于對象的策略管理，冰之眼NIDS針對不同部門/網段，制定不同的規則和響應方式，每個虛擬系統分別執行不同的安全策略，實現面向不同對象、實現不同策略的智能化、精細化的入侵檢測。如下圖所示：

4.4.2 中型網絡之集中管理方案

針對中型網絡，綠盟科技入侵檢測解決方案提供集中管理方案，通過將“冰之眼”NIDS部署在多個關鍵網段（如安全管理區、DMZ區、服務器區及辦公區）實現多處監控。利用“冰之眼”控制臺集中管理多臺網絡探測器，便于安全信息的集中管理，以便實時掌握全網的安全狀況。如下圖所示：

4.4.3 大型網絡之分級管理方案

對于跨廣域網的大型企業用戶，其網絡機構相對復雜，不僅有總部，全國各地還有分支機構，總部及下屬各分支機構都建有自己的局域網絡。用戶租用ISP的專線建立自己覆蓋全國的企業專網，各分支機構通過企業專網與總部建立業務信息交換。因此其對整個網絡的管理比較重視，需要保證總部和各分支機構的安全策略的統一性。

針對大型企業用戶，綠盟科技入侵檢測解決方案提供分級管理方案，在各級網絡上部署“冰之眼”NIDS的分級控制臺，上級控制臺對下級控制臺進行統一管理，上級控制臺可以將最新的最新升級補丁、規則模板文件、探測器配置文件等統一發送到下級控制臺，保持整個系統的安全策略的完整統一性。如下圖所示：

 

五 結論

每天成千上萬的蠕蟲、病毒、木馬、垃圾郵件在網絡上傳播，阻塞甚至中斷網絡；企業內部員工試圖嘗試獲取未授權的企業內部資源；同時隨著安全漏洞不斷被發現，入侵者的技巧和破壞能力不斷提高，而且入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率。這些威脅對企業造成巨大的損失，而對于上述威脅，傳統防火墻和防病毒系統都無法有效地檢測。

為了彌補防火墻的不足，我們需要利用入侵檢測技術，實時監控網絡資源，精確識別各種入侵攻擊，防止入侵造成危害。在檢測到入侵攻擊時，能夠及時報警，動態防護，減少入侵帶來的損失。

 

文章來源于領測軟件測試網 http://www.kjueaiud.com/