入侵检测技术是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测(IDS)能够帮助系统应对网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。从应用特点上看,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
 |
※ 技术实现
NetEye IDS 2.1利用独创的数据包截取技术对网络进行不间断的监控,扩大了网络防御的纵深。它采用先进的基于网络数据流实时智能分析技术,判断来自网络内部和外部的入侵行为并进行报警、响应和防范。在数据截取技术上,它直接从内核接收网络数据,减少中间环节,缩短了系统调用时间,从而提高了截取网络数据包及系统运行的速度和效率。在数据重组技术上,把数据包作为数据流进行分析,而不是认定为一个个孤立的数据包,从而实现了完整的数据重组及恢复技术。在入侵检测、统计机制上,它将异常识别及模式匹配识别与协议分析和行为分析技术进行融合,系统拥有入侵事件及入侵模式数据库,可以匹配多种网络入侵和攻击行为,包括系统漏洞、系统后门、CGI漏洞、系统扫描、缓冲区溢出攻击等各种危害系统的入侵和攻击识别库。在对碎片和乱序的数据处理中,它采用了专用的接口直接从操作系统内核快速截取数据包,高效进行数据流重组,以数据流为对象进行分析,较好地处理分片和乱序数据包。
※ 管理性能
 |
图1 NetEye IDS 2.1管理界面
NetEye IDS 2.1在管理上,使用加密通道和检测引擎安全通信,实现了多个检测引擎的集中管理;能够方便地在一个管理控制台上对多台引擎进行策略配置、报警显示,并自动维护事件数据库,不需第三方数据库软件,使用简便;另外,基于Windows系统提供了一系列的中文图形化管理工具,使一切信息查看、管理和配置都变得极为方便,简单易学;全部攻击与入侵事件的描述都使用中文,清楚明了。典型的管理界面如图1所示。
 |
图2 分析定位网络故障图
※ 日志审计与查询
在日志审计和查询方面,NetEye IDS 2.1提供了较为完整的网络审计日志、灵活的查询和报表功能,可对网络中的攻击事件、访问记录进行方便查询,并可根据查询结果输出直观的报表。
此外,它还提供对一个或多个检测引擎的查看分析,以便进行策略配置和系统管理,显示攻击事件的详细信息和解决对策,并可以产生图文并茂的报表输出。在日志审计选择中,用户可选择界面显示、记录到数据库、发送电子邮件等不同的方式进行报警。系统可以即时报警,实时展示入侵行为,并做出反应。
同时,为了使用户能够即时掌握网络中的入侵行为,系统在管理器中加入了实时报警装置,网络中发生入侵事件时,系统会立即在管理器中反映出来,并可采取防范措施,例如,切断攻击连接。而邮件报警则保证管理员不在管理器前仍可快速发觉网络中的异常情况。
※ 功能实现
NetEye IDS 2.1入侵检测系统具有强大的内容恢复和事件回放功能,支持多种常用协议。 除了可以对已知的入侵行为进行监测外,系统还可以对网络应用层上的协议进行恢复,能够实现的主要协议有:SMTP、POP3、TELNET、FTP、HTTP,也支持用户自定义协议。
管理员可以很直观地看到任何人的信件内容(包括附件)、TELNET或者FTP用户所作的操作、都去过哪些网站和看过哪些内容(包括文字和图片的再现)。它内容完整,使用方便,使得用户对网络的运行状况一目了然。另外,NetEye IDS 2.1通过对网络发生事件的恢复,不但能发现已知攻击,也可以发现未知攻击;不但可以发现攻击事件,也可以重现攻击过程;不但可以发现外部黑客的攻击,也可以发现内部用户的恶意行为。它在重组网络数据流的基础上,根据规则判断,通过统计分析和协议分析、模式匹配等方法,能够判断是否有异常事件发生。管理员可以通过对应用层信息的查看、分析,起到对原始证据的记录功能,同时,对于用户分析新出现的攻击特征提供了第一手的资料。
NetEye IDS 2.1入侵检测系统还可以实时监控网络当前运行状况,为用户人为监控和分析提供了有力的工具;提供实时连接报告,可以实时地从中直接发现网络中用户滥用网络资源的情况,如访问未授权的服务器等。
另外,网络扫描等异常行为也可从中看出。同时,NetEye IDS 2.1还具有网络嗅探器和扫描器功能,对网络中的数据流进行分析、解码和查找网络问题。同时提供网络连接监控、网络流量监控等功能,便于分析网络的问题,定位网络的故障。系统智能程度较高,操作简单,自我维护自身数据库,自动处理各种异常情况,无须用户干预。系统预装默认监控规则,无须用户编写和加载,容易使用。
NetEye IDS 具备多种方式进行报警响应,包括使用开放接口和防火墙互连,构成有机整体的安全防护。
该系统还支持分布式结构,监控大型网络。用户可将系统安装于大型网络的各个物理子网中,分布式监控网络的各个部分,一台管理器可管理多台服务器,达到分布安装、全网监控、集中管理。
※ 自身安全性
系统自身的安全性是衡量入侵检测系统的重要指标,因为网络入侵检测系统(NIDS)的核心是一个复杂的软件系统,这意味着NIDS本身可能受到各种攻击。而入侵检测系统受到攻击时必须要具备一定的健壮性,入侵检测系统的健壮性主要体现在两个方面: 一是程序本身在各种网络环境下都能正常工作; 二是程序各个模块之间的通信要可靠。
入侵检测系统在检测到入侵行为时都会记录日志、发送告警信息、发送警告邮件以及与防火墙互动等,若遇到大量、高强度攻击时,快速产生的告警信息会让入侵检测系统反应不过来,造成系统资源枯竭,甚至出现死机现象,使入侵检测系统完全失去作用。
赛迪评测对NetEye IDS 2.1进行了两个小时以上的大规模模拟攻击,攻击速率为1000次/秒,由于测试发出多个有攻击特征的数据包与入侵检测系统的检测规则相匹配,因此所有的入侵检测系统都产生了大量的报警信息。测试结果表明,产品均未出现通信不畅、实时告警停止以及失去反应甚至死机等现象。
测试结果还表明,系统自身具备高度安全性和隐蔽性。系统本身运行安全的操作系统,检测引擎和管理主机之间通讯采用128位加密。检测引擎为黑洞式结构,监测口无IP,攻击者无法发现,保证了自身的安全性。
※ 结论
总体来看,NetEye IDS 2.1入侵检测系统管理简单、易用,特别在功能上,能够较好地实现内容恢复和事件回放功能,这对于用户分析新出现的攻击特征提供了最完整的资料。同时它还有较好的日志审计功能,并具有较好的自身安全性,是一款功能较强的入侵检测产品。
以上详情请参看网址:http://media.ccidnet.com/media/ciw/1236/c1801.htm
东软网络安全 微信号:Neusoft_NetEye
