网威入侵检测系统技术白皮书
技术白皮书
北京中科网威信息技术有限公司网威网络入侵检测系统
版权声明
目录
一、前言...........................................................................................................................................1
二、产品概述...................................................................................................................................2
三、产品功能...................................................................................................................................3
3.1WEB 管理............................................................................................................................3
3.2策略管理功能.....................................................................................................................3
3.3实时入侵检测功能.............................................................................................................3
3.4报警过滤功能.....................................................................................................................4
3.5实时响应功能.....................................................................................................................4
3.6防火墙互动开放接口-OpenIDS......................................................................................4
3.7报表统计和数据库维护功能............................................................................................. 4
3.8强大的策略模板管理功能.................................................................................................5
3.9策略库升级.........................................................................................................................5
3.10引擎状态监控...................................................................................................................5
3.11流量监控.......................................................................................................................... 6
四、产品特点...................................................................................................................................7
4.1支持灵活的系统部署.........................................................................................................7
4.2更低的误报率和漏报率.....................................................................................................7
4.3增强的抗攻击能力.............................................................................................................9
4.4系统自身安全性更强.........................................................................................................9
4.5强大的攻击识别能力.........................................................................................................9
4.6避免报警风暴能力..........................................................................................................10
五、应用实例.................................................................................................................................11
5.1单一内网环境................................................................................................................... 11
5.2多内网环境....................................................................................................................... 11
5.3重点监控...........................................................................................................................12
5.4多网段监控.......................................................................................................................13
5.5透明模式...........................................................................................................................14
5.6网络分级监控...................................................................................................................15
一、前言
随着我国信息化建设的发展,计算机网络在人们日常生产、生活中起到的作用越来越大。许多企业、组织、政府部门都组建了自己的网络,通过互联网,实现网络间信息和资源的共享。但随着网络应用的发展,也产生了多种多样的网络安全问题。网络中蠕虫、病毒、木马及垃圾邮件肆意泛滥,黑客的入侵水平也日益提高,各种攻击手段层出不穷。这些都对用户网络安全与机密信息的保护,构成了巨大的威胁。因此,能够及时发现网络黑客的入侵,并有效地检测网络中的异常行为,就成为了网络用户的迫切要求。
北京中科网威信息技术有限公司集多年的安全产品开发经验,在充分调研国内外相关产品和精心准备的基础上独立开发了一款基于网络的实时入侵检测及响应系统——网威网络入侵检测系统。
北京中科网威信息技术有限公司(以下简称“中科网威”)是目前中国国内最具影响力、专业从事网络信息安全业务的高科技企业。公司创建于1999年,依托中国科学院、北京航空航天大学雄厚的科研实力和股东强大的资金实力,凭借优秀管理团队的专业化营运,集研发、生产、销售和服务于一体,致力于为用户提供优质的安全产品和安全解决方案。
中科网威承担防火墙、网络安全漏洞扫描、入侵检测等多项产品部颁标准和国家标准的制定,还曾多次荣获中国科学院科技进步一等奖、国家科技进步二等奖,并入选“国家重点新产品计划”、“科技型企业技术创新基金”与“火炬计划项目”,在国有网络信息安全产品的产业化、标准化和规范化过程中起到了至关重要的作用。
二、产品概述
网威网络入侵检测系统是中科网威网络安全系列产品中的重要组成部分,是在市场上被广泛使用的主流产品。
网威网络入侵检测系统针对不同用户的需要,提供了从低端到高端多个不同的型号。NPNIDS 百兆入侵检测系统针对企业、政府机关、银行和数据中心等百兆网络环境设计,能够广泛适应各种应用环境的需要。NPNIDS 千兆入侵检测系统则是中科网威专门为电信级骨干网络设计的高端千兆产品,特别适用于大流量、大规模的千兆核心网络环境。
在对网络入侵检测系统发展趋势和用户需求深入理解的基础上,网威网络入侵检测系统采用全新的B/S结构进行设计。用户无需安装专门的客户端,即可对通过浏览器对入侵检测系统进行管理。并且,在引擎的检测能力、响应能力及系统自身的保护能力等方面也进行了精心的设计,减少了系统的误报和漏报率,增强了系统自身的安全性。
网威网络入侵检测系统作为防火墙的重要补充,与防火墙组成动态防御、预警系统,能够监视10M/100M/1000M局域以太网上传输的所有网络数据信息,根据用户指定的保护目标及检测策略对网络上传输的数据进行深度分析。当可疑行为或攻击行为发生时立即产生报警,同时根据用户需要能采取多种响应措施,包括立即切断连接会话、重新配置防火墙、发送SNMP Trap 消息、发送电子邮件等。
网威网络入侵检测系统拥有最全面的国内资质认证,包括公安部颁发的《计算机信息系统安全专用产品的销售许可证》、中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》、保密局安全产品鉴定证书等。
三、产品功能
网威网络入侵检测系统具备一般网络入侵检测系统的主要功能,同时针对网络入侵检测系统面临的威胁和网络入侵检测系统发展方向开发出多项具有针对性的新功能,此外该系统对于国内外流行的防火墙(包括中科网威网威防火墙、天融信、CheckPoint 、东软NetEye 、亿阳信通、联想等防火墙)提供互动接口,具有较完备的检测、响应、互动能力,是一款高效实用的入侵防范工具。
3.1WEB 管理
网威网络入侵检测系统采用B/S架构,方便用户在多种操作系统和复杂环境下,对入侵检测系统的管理。
网络管理员可以很容易的通过浏览器,管理引擎的行为,包括启动、停止、添加、删除引擎,也可以查看、删除、查询引擎的实时报警,修改引擎的检测和响应策略。
此外,在必要的时候用户还可以通过串口连接引擎主机,通过专用界面对引擎进行控制,包括启动、停止、查看/设置网络接口状态、查看引擎运行状态以及系统维护等。
3.2策略管理功能
策略管理功能为用户提供了一个根据不同网络的安全需要,灵活配置安全策略的功能。网络管理员可以利用策略管理功能,轻松地针对特定擎定制策略,以满足不同的网络的安全要求。
同时,策略管理功能还向用户提供了入侵检测策略的扩充能力,网络管理员可以根据自己需要定制入侵检测策略,直接应用于网络引擎,很快实现网络管理员的安全意图。
3.3实时入侵检测功能
能实时识别各种基于网络的攻击及其变形,包括DOS 攻击、WEB 攻击、溢出攻击、后门探测等。检测攻击或者可疑行为是一般入侵检测系统的必要功能,但是大多存在着误报率和漏报率较高的问题,网威网络入侵检测系统使用深入的应用层协议分析技术和正则表达式
技术,极大的降低了误报率和漏报率,使得大量使用“安全扫描”类的黑客工具进行的变形攻击毫无效果,同时去除了干扰,减轻了检测引擎的工作压力,提高性能,更适用于大流量的网络环境。目前可以检测54大类,5000余种攻击行为及其变形。
3.4报警过滤功能
能根据定制的条件,过滤重复报警事件,减轻传输与响应的压力,同时还能保证报警事件不被遗漏。它能够明显缓解目前针对网络入侵检测系统的DOS 攻击, 使得系统能够高效稳定的工作。
通过报警插件的显示排序功能,可有效针对当前的报警状态,监控某些事件类型触发频率,通过查找攻击主机和被攻击主机,采取相关防护措施或补救手段。
3.5实时响应功能
根据用户定义,报警事件在经过系统过滤后进行及时响应,包括实时切断连接会话、重新配置防火墙,彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap 报警、报警实时显示、数据库记录等等。
3.6防火墙互动开放接口-OpenIDS
为了提高网络安全产品之间协同工作、动态防护的互操作性,中科网威提供了IDS 与防火墙互动的开放接口—OpenIDS 。通过OpenIDS ,可以根据设定好的阻断时间和阻断方式,通知防火墙,进行相应IP 地址、协议端口的阻断。
OpenIDS 现提供两种接口方式:开发包和可运行的Agent (目前支持Linux) ,不需要防火墙厂商进行二次开发。
目前可以和网威网络入侵检测系统实现互动的防火墙有包括:中科网威网威防火墙、联想“网御”防火墙、亿阳信通“网警”防火墙、东软“网眼”防火墙、CheckPoint FireWall-1和天融信防火墙等。
3.7报表统计和数据库维护功能
网威网络入侵检测系统提供了非常简便的入侵报警统计和报表工具。用户可以根据各种
可选条件,例如:引发报警数据包的源IP 地址、目的IP 地址、源端口号、目的端口号、报警产生的时间、危险级别等等,使用单一条件或者复合条件进行查询。当报警事件数量大、信息来源广泛的时候,网络管理员可以很轻松的对报警事件进行分类,从而着重显示网络管理员所需要的信息。通过报表提供的统计模板统计相关报警事件的攻击次数及其趋势,确定事件等级及其采取相关措施,通过查阅事件安全建议采取防护措施。启动报表任务计划功能可达到报表统计资料的定期汇总和导出,使网络管理员的网络安全报告更直观、清晰。
入侵检测系统引擎长时间工作后会产生大量的冗余信息,通过备份、循环数据库,可以使数据库变得更精简,使系统工作效率更高,更稳定。当数据库达到一定大小的时候,通过网威网络入侵检测系统的数据维护程序,网络管理员可以根据自己的需要导出某一个确切时间范围内的数据,进行备份。数据导入功能则可以将备份的数据导入程序数据库,来查看历史报警事件。另外,为了方便数据库的维护,通过设定数据库的导出条件,引擎可以定期导出符合条件的报警事件,进行备份。
3.8强大的策略模板管理功能
系统默认提供最大检测集模板、最小检测集模板、中强度检测集模板、标准检测集模板、Windows 检测集模板、Linux 检测集模板,共六种模板。并且支持用户自定义模板,允许用户将自己定义的模板和系统的模板进行导入导出操作。
3.9策略库升级
系统支持在线远程升级策略库,用户可以自己设置好升级时间间隔,网威网络入侵检测系统会自动进行在线升级。同时为不能接入互联网的用户提供升级文件,进行本地升级。策略库的升级可以保证入侵检测系统能检测最新出现的攻击。
3.10引擎状态监控
网威网络入侵检测系统提供了查看引擎状态的功能,通过WEB 界面我们可以观察引擎当前各网卡的网络流量,CPU 使用率以及内存使用情况。
3.11流量监控
网威网络入侵检测系统允许用户统计指定网段或主机的流量,并可以根据主机地址、端口、协议等分类图形化的显示网络流量。用户可以方便的根据流量异常情况检查定位网络中违反安全策略的恶意行为。
四、产品特点
4.1支持灵活的系统部署
系统使用web 进行管理,对网络部署和管理员所使用的管理机器的要求简单,只要有浏览器即可。对于隐藏本地IP 地址的多网段大型网络环境,可以把管理机器置于内部网络,而把网络引擎部署到网络中的任意位置。此外,在骨干网实际带宽很高的情况下,用户可以根据地址、协议、应用类型等条件配置数据获取策略,同时部署多个网络引擎确保充分检测网络数据,使得保护对象更加明确具体,提高引擎运行效率。
4.2更低的误报率和漏报率
系统采用领先的基于应用层协议分析的入侵检测技术,根据各种典型应用的具体协议对网络数据进行分析、检测,能够识别各种伪装或变形的攻击,极大的降低了漏报率和误报率。
在详细的协议分析的基础上,采用重组还原技术判断碎片攻击,很多黑客通过对IP 包进行分片的方式来逃避IDS 的检测:将一个完整的攻击请求分成几个步骤发出去,常规的网络入侵检测系统是根据每个单独的数据包进行匹配判断的,这样就不能检测到一个完整的攻击请求,从而造成漏报。网威网络入侵检测系统在每次匹配之前,先判断数据包是否为分片包,如果是,则根据协议规则先进行重组,使本次的请求还原到一个完整的数据包状态再进行检测。
IP 数据包分片和重组过程如下图所示:图中两个IP 数据包,在传输过程中,由于网络MTU 的限制,会被分成不同的碎片进行传输;在网威入侵检测系统的引擎上会被还原为原始包,然后再进行匹配检测。
4-1网威网络入侵检测系统碎片重组示意图
同时,对于基于连接数据记录每一次的会话,使那些上下文相关的入侵行为无处躲藏,即一次可疑行为的产生需要两个相关联的数据包共同来完成,常规的网络入侵检测系统只判断单一的数据包,从而会产生漏报。网威网络入侵检测系统会记录每一次会话的全过程,使检测数据范围更广,检测更严谨。
TCP 数据流还原过程如下图所示:图中分别描述两个连接的数据包:Session 1和Session 2,每个连接中都有多个数据包需要传递。数据在网络传输过程中,可能会按照不同的路由到达目的地,顺序有了很大变化。当到达网威入侵检测系统的引擎后,会经过流重组模块使其还原为原始数据流状态,即按照数据包的标志,重新组合为Session 1和Session 2的状态,然后在此基础上进行检测,进而提高检测的准确性。
4-2网威网络入侵检测系统流还原示意图
此外,我们在应用层针对特殊服务做了特殊编码还原/协议分析处理,使一些IDS 逃避攻击、特殊编码变形等攻击无处躲藏。
4.3增强的抗攻击能力
系统能够防御针对IDS 的拒绝服务攻击,采用的重复事件过滤技术和其他监控手段,使得对IDS 的DOS 攻击的冲击降到最低。同时对于网络中断等异常情况采用了智能控制技术,确保引擎稳定运行,报警不致丢失,当网络通讯恢复后能够及时显示。
4.4系统自身安全性更强
网络引擎运行于安全操作系统并经过严格配置。网络引擎具备管理微内核,采用双网卡(获取数据网卡无IP )工作方式,通讯支持认证和加密,确保系统的安全。
4.5强大的攻击识别能力
具备更强的攻击识别能力,采用领先的基于应用层的协议分析入侵检测技术,根据各种典型应用的具体协议结果进行检测,能够识别各种伪装或变形的攻击。
4.6避免报警风暴能力
网威网络入侵检测系统具有对高频度发生的相同安全事件进行合并报警,避免出现报警风暴的能力。
五、应用实例
5.1单一内网环境
这个应用方案中,在一个典型的网络环境中部署了三个网络引擎。可以通过网络管理员的机器(网威控制台),很容易的实现对这三台DMZ
区和外网中的引擎进行管理。
5-1网威网络入侵检测系统单一内网环境部署示意图
5.2多内网环境
这个应用方案中,每个内部子网通过单独的防火墙与外网连接,网络管理员位于公开网段,它可以监控位于各个内网的网络引擎。
5-2网威网络入侵检测系统多内网环境部署示意图
5.3重点监控
这个应用方案中,在DMZ 区中通过分接器给每个关键应用服务器连接一个专门的网络引擎,以保证对关键主机的重点监控,这样既可以加强监测的针对性引擎,同时也便于过滤策略和检测策略的定制。
5-3网威网络入侵检测系统重点监控部署示意图
5.4多网段监控
网络中划分多个网段时,通常每个网段需要配置一个入侵检测引擎,这样带来的问题是成本相对较高。对于网络流量不是很高,同时又划分多个网段的网络中,网威网络入侵检测系统提供了一个引擎同时监控多个网段的功能。这个应用方案中,通过一个入侵检测引擎可以同时监听2-7个网段,可以监控内部网内2-7个节点内的所有主机,减少引擎个数,利于管理,方便设定策略;降低网络部署成本。
5-4网威网络入侵检测系统多网段监控部署示意图
5.5透明模式
通常入侵检测是以混杂模式工作来监听网络上的数据包,在一些特殊的网络环境中这样会受到一些限制。网威入侵检测引擎工作能够在网桥模式下,这样,路由器与防火墙之间不需要再接出一个HUB 或交换机用于接入引擎,部署方便简洁。
5-5网威网络入侵检测系统透明模式部署示意图
5.6网络分级监控
这个应用方案中,网威网络引擎1检测从外部网来的攻击;网威网络引擎2检测经过防火墙的攻击,网威网络引擎3检测内部网的攻击及异常行为。
5-6网威网络入侵检测系统网络分级监控部署示意图