绿盟科技网络入侵检测系统解决方案

一 前言

随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络，并连接到I

nternet上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。

伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。现在，网络中clearcase/" target="_blank" >cc">蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用（包括P2P下载、IM即时通讯、网络游戏、在线视频等行为），黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。

能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为，成为所有网络用户面临的一个重要问题。

二 为什么需要入侵检测系统

随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：

·公司的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；

·客户抱怨公司的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；

·公司机密资料被窃，给公司造成巨大的损失，但是检查不出是谁干的；

·公司网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何清除和避免再次遭到攻击；

·公司网络被入侵了，安全事件调查中缺乏证据。

根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。

2.1 防火墙的局限

众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防护。

但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。

传统的防火墙主要有以下的不足：

.. 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。

.. 防火墙无法发现内部网络中的攻击行为。

由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。

2.2 入侵检测系统的特点

入侵检测系统（Intrusion Detection System）是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。

入侵检测系统主要有以下特点：

.. 事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；

.. 事中防护：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防护；

.. 事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。

综上所述，防火墙提供静态防护，而入侵检测系统提供动态防护，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防护。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进行检查，入侵检测系统相当于闭路监控系统，监控关键位置如财务、库房等地的安全状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警。两者的配合使用才能保证安全。

三 如何评价入侵检测系统

入侵检测系统具有实时检测、报警和动态响应等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是入侵检测系统的基本标准。

入侵检测系统(IDS）应该从四个方面评价：

.. 准确的、广泛的入侵检测能力；

.. 优异的产品性能；

.. 强大的管理能力；

.. 良好的自身安全性。

一个完善的入侵检测系统（IDS）应该具有以下特点：

.. 实时报警，报警的准确率高，误报和漏报率低；

.. 不同性能的产品，能够满足不同网络的需求；

.. 操作简单，易于部署、管理；

.. 自身的安全性高，不易遭受攻击。

四 绿盟科技网络入侵检测系统

针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网游、视频等），绿盟科技提供了完善的安全检测方案。冰之眼网络入侵检测系统（ICEYE NIDS）是绿盟科技自主知识产权的安全产品，它是对防火墙的有效补充，实时检测网络流量，监控各种网络行为，对违反安全策略的流量及时报警和防护，实现从事前警告、事中防护到事后取证的一体化解决方案。

4.1 产品功能

冰之眼网络入侵检测系统具有三大功能：

.. 入侵检测

冰之眼NIDS对黑客攻击（缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问等）、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警，并通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防护。

.. 行为监控

冰之眼NIDS系统会对网络流量进行监控，对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。

.. 流量分析

冰之眼NIDS对网络进行流量分析，实时统计出当前网络中的各种报文流量。

4.2 体系架构

冰之眼网络入侵检测系统的体系架构主要由控制台、网络探测器及升级站点三个部分组成，方便各种网络环境的灵活部署和管理。

 

图表1 绿盟科技网络入侵检测系统体系架构

4.3 产品特点

4.3.1 基于对象的虚拟系统

.. 冰之眼NIDS提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活。冰之眼NIDS的所有策略（规则）都使用对象来定义，具有丰富的预定义对象。冰之眼的对象包括网络对象、

服务对象、时间对象、事件对象。每个对象都支持组的概念，在设置规则的时候可以基于组进行规则设置，组对象可以是单个对象也可是多个对象，或者是二者的组合，通过组的概念可以减少IDS的规则数量，简化了管理员的管理；

.. 冰之眼NIDS提供基于对象的虚拟系统（VIDS），针对不同的网络环境和安全需求，基于IP地址（组、段）、规则（组、集）、时间、动作等对象，制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、不同策略的智能化入侵检测；

.. 冰之眼NIDS携带了超过1800条经过仔细检测与时间考验的攻击特征，由著名的NSFocus安全小组精心提炼而成。针对每个攻击均附有详细描述和解决办法，对应NSFocus ID、CVE ID、Bugtraq ID，并提供了详细的修复方法及补丁下载地址；

.. 绿盟科技具有领先的漏洞预警能力，规则库通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证

（CVE Compatible），是目前国内唯一一个向国外（美国）出口入侵检测规则库的公司。绿盟科技每月平均提供四到五次升级更新，在紧急情况下可即时提供更新；

.. 冰之眼NIDS支持审计功能，可以记录网络的通信报文，并解码回放，目前支持HTTP、SMTP、FTP、Telnet、POP3协议。

4.3.2 准确细致的检测技术

.. 冰之眼NIDS全面深入的协议分析技术能够分析近100种应用层协议，包括HTTP、FTP、SMTP等，极大地提高检测的准确性，降低误报率；

.. 冰之眼NIDS通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、后门，对于运用了Smart Tunnel技术的软件也能准确地捕获分析；

.. 冰之眼NIDS通过协议分析，发现任何违背RFC规定后，均视为协议异常。协议异常最为重要的作用是检测未知的溢出攻击与拒绝服务攻击，协议异常具有接近100%的检测准确率和近乎零的误报率；

.. 冰之眼NIDS通过对多种尖端检测技术的综合运用以及数千种攻击行为的全面深入分析，可以精确检测出几乎所有攻击的最终结果——成功还是失败。依据该结果，管理员可以迅速判断出具有最高风险的安全隐患，并在第一时间做出处理措施加以弥补；

.. 冰之眼NIDS具有的IP碎片重组与TCP流汇聚能力，能够检测到黑客采用任意分片方式进行的攻击，提高检测效率。

4.3.3 强大丰富的管理能力

.. 冰之眼NIDS同时支持B/S和C/S两种管理方式。Web管理灵活方便，适合在任何IP可达地点远程管理，而且Web界面支持 MS IE、Netscape、Firefox、Opera四大浏览器，真正意义上实现了跨平台；

.. 冰之眼NIDS支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。

单级管理模式：控制台直接管理网络探测器，一个控制台可以管理多台网络探测器。

 

主辅管理模式：网络探测器同时接受一个主控制台和多个辅控制台的管理。主控制台可以完全控制网络探测器；辅控制台只能接受网络探测器发送的日志信息，不能操作网络探测器。

多级管理模式：控制台支持任意层次的级联部署，实现多级管理。上级控制台可以将最新的升级补丁、规则模板文件等统一发送到下级控制台，保持整个系统的完整统一性；下级控制台可以向上级控制台传送日志信息。

 

.. 冰之眼NIDS提供带外管理（OOB）功能，解决远程应急管理的需求，减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量;

.. 冰之眼NIDS事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反应速度；

.. 实时在线升级、自动在线升级、离线升级、冰之眼NIDS支持多种升级方式，使NIDS提供最前沿的安全保障；

.. 冰之眼NIDS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员；

.. 从实时升级系统到报表系统，从攻击告警到日志备份，冰之眼入侵检测系统完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，极大地降低了维护费用与管理员的工作强度；

.. 冰之眼NIDS具有流量分析的功能，不是仅仅通过端口来判断协议进而统计流量，而是通过分析协议的内容后才进行统计，更精确可靠；能够产生详细的流量报表；可以通过编辑自定义统计指定协议流量的IP TOPN。

4.3.4 可扩展的入侵保护

.. 冰之眼NIDS具有良好的可扩展性，仅仅通过数字证书就能很方便、快捷地从IDS升级到IPS，为用户未来的产品使用提供更广阔的空间；

.. 冰之眼NIDS支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力；

.. 冰之眼NIDS可以与流行的主流防火墙产品（Checkpoint FW-1、Netscreen、天融信、卫士通龙马等）进行联动阻断入侵者；

.. 冰之眼NIDS具有TCP KILLER功能，能够实时地切断基于TCP协议的攻击行为；

.. 冰之眼NIDS支持通过发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等响应方式及时报警；

.. 冰之眼NIDS提供了基于XML的开放式IDBP（Intrusion Detection and Block Protocol）联动接口，任何安全产品可以基于此接口与冰之眼NIDS联动。

4.3.5 高可靠的自身安全性

.. 冰之眼NIDS专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性；

.. 冰之眼NIDS具有更强的高可用性，设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性；

.. 冰之眼NIDS采用特别定制的操作系统，与控制台间的通信采用强加密的SSL加密传输告警日志与控制命令，完全避免了可能存在的嗅探行为，保证了数据传输的安全；

.. 冰之眼NIDS监听网口无需设置IP地址，避免了被扫描和攻击；

.. 冰之眼网络探测器与控制台在网络完全断开的情况下，探测器仍然会将检测到的事件在探测器本地保存，等网络恢复正常自动地同步到冰之眼控制台，提供日志缓存。

4.4 解决方案

绿盟科技提供一整套的入侵检测解决方案，实现从企业网络核心至边缘及分支机构的全面检测。冰之眼网络入侵检测系统的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，满足不同企业不同管理模式需要。

4.4.1 小型网络之精细管理方案

针对小型网络，绿盟科技入侵检测解决方案提供虚拟IDS精细管理方案，通过基于对象的策略管理，冰之眼NIDS针对不同部门/网段，制定不同的规则和响应方式，每个虚拟系统分别执行不同的安全策略，实现面向不同对象、实现不同策略的智能化、精细化的入侵检测。如下图所示：

4.4.2 中型网络之集中管理方案

针对中型网络，绿盟科技入侵检测解决方案提供集中管理方案，通过将“冰之眼”NIDS部署在多个关键网段（如安全管理区、DMZ区、服务器区及办公区）实现多处监控。利用“冰之眼”控制台集中管理多台网络探测器，便于安全信息的集中管理，以便实时掌握全网的安全状况。如下图所示：

4.4.3 大型网络之分级管理方案

对于跨广域网的大型企业用户，其网络机构相对复杂，不仅有总部，全国各地还有分支机构，总部及下属各分支机构都建有自己的局域网络。用户租用ISP的专线建立自己覆盖全国的企业专网，各分支机构通过企业专网与总部建立业务信息交换。因此其对整个网络的管理比较重视，需要保证总部和各分支机构的安全策略的统一性。

针对大型企业用户，绿盟科技入侵检测解决方案提供分级管理方案，在各级网络上部署“冰之眼”NIDS的分级控制台，上级控制台对下级控制台进行统一管理，上级控制台可以将最新的最新升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台，保持整个系统的安全策略的完整统一性。如下图所示：

 

五 结论

每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播，阻塞甚至中断网络；企业内部员工试图尝试获取未授权的企业内部资源；同时随着安全漏洞不断被发现，入侵者的技巧和破坏能力不断提高，而且入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率。这些威胁对企业造成巨大的损失，而对于上述威胁，传统防火墙和防病毒系统都无法有效地检测。

为了弥补防火墙的不足，我们需要利用入侵检测技术，实时监控网络资源，精确识别各种入侵攻击，防止入侵造成危害。在检测到入侵攻击时，能够及时报警，动态防护，减少入侵带来的损失。

 

原文转自：http://www.ltesting.net