鹰眼网络入侵检测系统技术白皮书.doc

1、三零盛安 版权所有 2002-2003, 成都三零盛安信息系统有限公司 3OSAN鹰眼网络入侵检测系统技术白皮书目 录1.公司简介12.产品概述13.产品体系结构24.产品规格35.产品功能特征36.产品特色86.1.高性能的核心抓包机制86.2.丰富的攻击特征库96.3.良好的协作联动能力96.4.抗IDS攻击的事件合并能力96.5.优化的数据库结构设计106.6.高可用性的界面设计106.7.大规模网络下的入侵检测能力106.8.完备的自身安全性设计116.9.硬件的高可靠性设计127.产品典型应用环境137.1.鹰眼网络入侵检测系统137.2.鹰眼分布式网络入侵检测系统148.产品技术指

2、标158.1.产品硬件规格158.2.网络支持168.3.检测效率178.4.攻击特征178.5.抗攻击能力178.6.响应方式188.7.系统稳定性18鹰眼网络入侵检测系统技术白皮书 第 3页 共21页三零盛安鹰眼网络入侵检测系统技术白皮书1. 公司简介三盛安信息系统有限公司是由中国电子科技集团公司第三十研究所控股的成都三信息系统工程有限公司（三信息）与四川三卫士安全软件（安全软件）有限公司合并组建而成，是专业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的高科技企业。 创建于1965年的中国电子科技集团公司第三十研究所是由国家认定的，唯一以全所力量从事信息安全和保密

3、通信网络研究及工程建设的专业研究所，建有博士后流动站和国家级的国防科技保密通信重点实验室。 三盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者，肩负着开拓信息安全新领域的重任。公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服务，包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服务，并能根据不同用户需求提供各类定制产品和服务。目前公司的业务已覆盖了电子政务、电子商务以及金融、电信、电力、交通、教育、科研院所等领域，客户遍及全国并向海外延伸。公司已在北京、上海、西藏、兰州等地设立了分公司或办事机构，为用户就近提供方便优质的服务。 三

4、盛安是国家首批认定的软件企业和高新技术企业。公司严格按照ISO9001、CMM质量保证体系管理软硬件产品的研发、生产、销售以及工程、服务等。公司不仅先后获得了涉密计算机网络设计及施工定点单位、信息安全服务等方面的资质，而且还是国家计委信息安全专项、科技部国家863信息安全专项承担单位。公司研发的产品均已通过了各领域信息安全产品测评机构的测评认证。三盛安高度重视与战略伙伴的合作，先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。在安全领域我们正与多家著名安全产品厂商结成联盟，就多层次信息系统安全防护体系

5、的建立进行广泛合作，以满足用户日益增长的需求。 三盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀，凝聚优秀的高科技人才群体，为铸造中华民族的信息长城而不懈努力。2. 产品概述随着近年来互联网络的迅速普及，网络的安全问题日益严重，各种网络攻击行为给企业、政府带来巨大的经济损失，甚至使国家的安全与主权受到威胁，网络信息安全近年来已受到普遍关注。由于攻击技术的不断发展，攻击手段的不断丰富，攻击所带来的危害愈加严重，防范攻击的难度不断增加，入侵检测产品作为一种高效、准确和智能化的网络攻击检测工具得到了广泛的关注和认同。它采集信息系统中的网络数据，系统日志，服务状态，资源使用状况等

6、信息，进行综合分析和比较，判断入侵行为的发生，并采用多种不同手段记录攻击，实时告警，阻断攻击者的进攻，从而增强用户网络和信息系统的安全。作为国内最早从事信息安全研究的中国电子科技集团公司第三十研究所的下属公司，三零盛安公司很早就开展了对入侵检测技术的跟踪和研究，并从1999年开始，陆续在国内市场上推出了多款针对不同应用环境的入侵检测产品，在入侵检测技术和攻击技术的研究和跟踪上也一直处于国内同行前列。鹰眼网络入侵检测产品系列已经通过各种国家权威机构的测评和认证，包括国家公安部安全检测中心的测试、国家安全部信息安全产品测评中心、国家保密局、解放军信息安全产品测评中心、银行等机构，获得了相关的产品资

7、质证书，充分证明了鹰眼产品是稳定、可靠、高效的网络安全产品。3. 产品体系结构鹰眼网络入侵检测系统以操作系统的网络数据零拷贝采集技术为基础，以自主设计的入侵检测引擎为核心，对网络数据进行特征分析，实时捕获各种攻击行为。产品提供单机和分布式两种架构，能够完成大规模信息网络中的多点检测，集中管理，中心能够完成数据的二次分析与存储，并提供多种不同的报警方式，注重互动和协作能力，形成全方位的入侵防御体系。其体系结构图如下： 4. 产品规格鹰眼产品为了满足不同用户的不同需求，按照体系架构和应用环境的不同，可以为用户提供如下不同规格的产品：n 鹰眼网络入侵检测系统NIDS-SNIDS100-S：百兆入侵检

8、测NIDS1000-S：千兆入侵检测n 鹰眼分布式网络入侵检测系统NIDS100-DxE：分布式百兆检测引擎NIDS1000-DxE：分布式千兆检测引擎NIDS1000-DxC：分布式入侵检测系统控制中心5. 产品功能特征 强大的入侵检测功能鹰眼网络入侵检测系统提供强大的入侵检测功能，目前可以检测的攻击类型有23大类，共计890余种入侵行为：序号规则大类描述1后门程序攻击检测攻击者试图通过目标系统中的安装的后门程序，控制目标系统，损害系统安全的行为。2缓冲区溢出攻击检测攻击者通过目标系统的各种应用服务的软件实现中存在的缓冲区溢出漏洞，控制目标系统的攻击行为。3扫描器攻击检测攻击者使用各种扫描器

9、软件，搜索攻击目标并收集目标系统中的系统信息及安全漏洞的行为。4密码破解攻击检测攻击者使用密码破解工具，猜测目标系统的用户口令，以获取口令的方式进入系统的攻击行为。5拒绝服务攻击检测攻击者通过抢占目标系统资源阻止合法用户使用系统服务，或使系统崩溃的行为，与分布式拒绝服务攻击相比较规模较小。6分布式拒绝服务攻击检测攻击者通过网络中的多台被控主机，同时对目标系统发起攻击，抢占目标系统资源，阻止合法用户使用系统服务或使系统崩溃的行为。7FINGER服务攻击检测攻击者针对UNIX系统或LINUX系统中开放的finger服务，获得目标主机中的帐户信息，登录时间，登录次数等相关信息的行为。8FTP服务攻击

10、检测攻击者通过目标系统中的ftp服务的安全漏洞实施的各种攻击行为，如用户口令猜测，使用空用户或超级用户登录，读取或修改一些特殊的系统文件的行为。9TELNET服务攻击检测攻击者通过目标系统中的telnet服务的安全漏洞实施的各种攻击行为，如用户口令猜测，修改系统环境变量，缓冲区溢出攻击等行为。10RPC服务攻击检测攻击者利用目标系统中的提供的各种远过程调用服务中的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出，强制执行远程命令的行为。11DNS服务攻击检测攻击者通过目标系统中的DNS服务的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出攻击等行为。12邮件服务器攻击检测攻击者针对LINU

11、X系统或UNIX系统中的sendmail邮件服务器的安全漏洞，发起的攻击行为，如帐号试探，利用内部邮件服务器转发邮件，缓冲区溢出等。13数据库服务器攻击检测攻击者针对WINDOWS系统中使用的SQL SERVER服务器的设计和实现漏洞发起的各种攻击行为14XWINDOW服务器攻击检测攻击者针对LINUX系统中XWINDOW服务器的安全漏洞发起的各种攻击行为。15ICMP协议攻击检测攻击者通过各种不同的攻击程序发出的探测目标主机是否存在的ping包以及针对ICMP协议的安全漏洞发起的攻击行为，如路由信息试探，DOS攻击等。16NETBIOS协议攻击检测攻击者利用netbios协议的安全漏洞实施的

12、各种攻击行为，如获取目标系统的用户权限，以及访问目标系统共享文件资源，缓冲区溢出攻击等。17TFTP协议攻击检测攻击者利用目标系统中的TFTP服务的安全漏洞实施的各种攻击行为，如越权访问，缓冲区溢出攻击，强制执行命令等。 18CGI类型攻击检测攻击者利用各种WEB服务器中的缺省CGI程序的实现漏洞实施的攻击行为，如获取系统信息或者访问权限，强制执行shell命令等。19COLDFUSION类型WEB服务器攻击检测攻击者利用COLDFUSION类型的web服务器的安全漏洞，如未公布的管理函数，及脚本漏洞等实施的攻击，如得到或设置web服务中的数据源的缺省密码和用户名，获得非法访问权限，发动DOS

13、攻击等。20FRONTPAGE类型WEB服务器攻击检测攻击者利用FRONTPAGE类型的WEB服务器中存在的安全漏洞发起攻击，如获得非法访问权限或通过缓冲溢出导致系统崩溃等。21IIS类型WEB服务器攻击检测攻击者利用IIS类型的WEB服务器中的安全漏洞实施的攻击行为，如取得文件源码，获得访问权限，越权查看文件或目录，及缓冲区溢出等。22其他类型WEB服务器攻击检测攻击者利用目标系统或设备中的WEB服务器（如IOS，NETSCAPE）的安全漏洞实施的攻击行为，如获取系统信息，获取账户信息，缓冲区溢出攻击等。23其他类型攻击检测攻击者利用一些非主流的协议或设备中存在的安全漏洞实施的攻击行为，如修

14、改路由表信息，发送路由数据包，测试内部主机的网络拓扑，缓冲区溢出等。 功能强大的搜索引擎面对海量的入侵记录，用户如何才能找到自己关心的内容？鹰眼网络入侵检测系统向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录。 实时、全面、丰富的入侵检测分析报告根据入侵检测记录的结果，我们将通过周期性的审计分析，以在线方式为用户提供全面，详细，丰富的入侵检测分析报告，反映用户在一个周期内受到的攻击类型，严重程度，发生频率，攻击来源，详细数据等诸多信息。我们更为用户提供了丰富的分析图表，帮助用户随时对自己的网络安全状况作出正确的评估。 历史记录的统

15、计分析、查询和下载鹰眼网络入侵检测系统在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能，同时还定期将数据打包，供用户下载。 多样化报警和响应方式鹰眼网络入侵检测系统一旦检测到入侵行为，可以通过多种方式进行报警。并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，切断攻击，从而保护本地主机的安全。鹰眼网络入侵检测系统具有以下五种报警响应方式：a) WEB控制台的“入侵报警灯”报警灯位于WEB操作界面左上方，u 若灯为绿色，则表示无入侵行为发生过；u 若灯变为红色，则表示曾有入侵行为发生过；u 若灯在不停地闪

16、烁，则表示当前有入侵行为正在发生。b) 电子邮件报警鹰眼系统能够依照用户自定义的邮件发送策略，将近期检测到的攻击通过电子邮件的方式发送给管理员。管理员不论身处何地，只要能够接收电子邮件，就能够了解网络的安全状况。c) SNMP TRAP告警鹰眼系统能够将告警信息通过SNMP Trap的方式发送到用户指定的SNMP管理中心，使用户可以通过自己应用环境中的简单网管系统查询到鹰眼告警信息。d) SYSLOG告警鹰眼系统能够将告警信息发送到用户网络环境中任何开放了syslog服务的服务器上，使用户可以通过查看服务器系统日志的方式查询到鹰眼的告警信息。e) 主动切断鹰眼系统能够基于用户的定制策略在发现T

17、CP和ICMP协议的攻击行为时，向攻击方和被攻击主机发送切断数据包，实施主动切断，以阻止攻击行为的进一步发生。f) 防火墙联动响应在发现一些危险性较大的攻击行为，仅仅依靠IDS无法有效阻止攻击时，鹰眼系统将自动发送阻断请求到实现联动的防火墙，通知防火墙修改过滤规则，及时阻止攻击行为的进一步发生。目前鹰眼入侵检测系统已经能够同时与天融信、东方龙马、华堂、华依、联想网御等多种防火墙产品实现联动。 可灵活定制的入侵规则库用户可以通过鹰眼网络入侵检测系统的远程WEB控制台定制鹰眼的入侵规则库。目前为用户提供了多种不同深度的规则配置方式以及响应策略的配置，包括：规则定制、响应策略定制、预处理插件定制和用

18、户自定义规则定制。l 响应策略定制：用户可以根据自身需要将暂停响应、警报记录、邮件告警、SNMP告警、SYSLOG告警、主动切断、防火墙联动七种响应方式任意组合成适合自身需要的响应策略，并将这些策略应用到具体规则中。l 规则定制：用户可以根据规则的严重程度，规则的类型，以及自身的实际环境配置每一条规则所对应的入侵行为的响应策略，包括停止响应。l 预处理插件定制：用户可以选择使用鹰眼网络入侵检测系统提供的5种预处理检测插件，并对其检测参数进行配置。l 用户自定义规则：用户可以对入侵规则中的协议类型、地址信息，协议标志位，和检测内容等信息进行定制，产生用户定义的新规则，并将这些新规则应用到检测过程

19、中。 不断更新的入侵规则库黑客技术在发展，攻击模式不断更新，我们的技术人员也在不断跟踪世界最新的网络攻防技术，并根据攻击技术的最新发展不断推出最新的入侵检测规则库的升级包，您可以访问本公司的产品网站：下载，并通过鹰眼的WEB控制台进行安装。 WEB控制台远程管理方式为了方便用户更好的管理和利用鹰眼网络入侵检测系统，我们推出了采用B/S模式管理的鹰眼WEB远程控制台。这样，用户可以在任意的OS平台中使用浏览器登录鹰眼，浏览入侵日志，配置入侵规则、监控自身网络状况，远程管理和维护鹰眼设备等。6. 产品特色6.1. 高性能的核心抓包机制鹰眼产品通过独有的核心抓包技术，在系统的核心态下直接控制网卡状态

20、，抓取网络数据帧，再通过核心态与用户态之间的专用数据通道完成数据帧从核心态到用户态的传递，从而减少了系统在用户态与核心态之间进行系统状态切换和数据拷贝的次数，大大提高了核心抓包的性能。6.2. 丰富的攻击特征库鹰眼网络入侵检测系统能够提供对23大类，共计858种攻击行为的检测，同时，在我们已经积累多年的攻击技术研究基础之上，我们不断对新出现的攻击行为进行跟踪和研究，对我们的攻击特征库进行周期性的更新和发布，使我们的产品始终具备对最新的攻击行为的检测能力。6.3. 良好的协作联动能力在攻击日益猖獗的情况下，仅仅依赖入侵检测产品显然是无法完全抵抗攻击的，因此需要多个安全产品之间的联动协作，目前较多

21、的是防火墙产品与入侵检测产品之间的联动协作。目前鹰眼系统已经能够与华堂，华依，天网，天融信，东方龙马和联想网御等多种防火墙进行联动。鹰眼能够根据用户的配置，在探头检测到攻击信息后，与相应的防火墙之间建立安全连接，发送联动消息。鹰眼的防火墙联动代码的优秀的体系结构设计，使其具备了良好的兼容性和可扩展性，能够轻松实现新的防火墙联动模块的添加，具备与任何防火墙联动接口进行有效联动的可扩展能力。 6.4. 抗IDS攻击的事件合并能力随着IDS产品的发展，针对IDS的攻击技术也随之而生，通过模拟大量能够使IDS产生报警的攻击数据，使IDS淹没在攻击事件风暴中，甚至漏过了真正的攻击数据。因此如何应对，成了

22、众多IDS产品面临的课题，鹰眼产品在自主设计的事件合并算法的基础上，已经具备了针对这种攻击的抵抗能力，通过对一定时间周期内发生的攻击事件的性质，频率等的智能化分析和判断，决定是否对这些攻击事件进行合并，由此，能够识别事件风暴，并将其合并为一条或几条针对IDS的DOS攻击事件报警，从而避免了系统的过载，使鹰眼能够正常识别真实的攻击行为。6.5. 优化的数据库结构设计鹰眼网络入侵检测系统的所有攻击记录均通过数据库进行管理，独特的数据库结构设计使其能够实现数据的高速入库，快速查询，浏览，数据库中使用了内存表技术和多表循环的管理机制，后台在内存表中实现高速的数据插入，前台也对内存表进行查询，数据定期备

23、份到硬盘数据表中。由于内存表存储在内存中，而且容量较小，确保了查询和插入速度，同时大量的历史数据备份到硬盘数据表中，供用户查询和下载，确保了数据的完整性。6.6. 高可用性的界面设计鹰眼网络入侵检测系统的所有用户操作全部通过浏览器方式完成，而这种B/S模式的用户界面存在着许多优点，其一，对用户环境没有任何特殊要求，无须用户为满足产品使用进行任何环境改变；其二，B/S模式的数据处理过程全部在服务器端完成，不会增加管理主机系统负载。第三，通过超链接的作用，对数据记录的浏览能够实现非常灵活的跳转，用户可以在浏览过程中任意切换到关联内容中，通过这个特性，用户可以很容易的发现各种类型告警或者统计数据之间

24、的关联性，从而更全面和深入地了解攻击事件；第四，WEB界面是一种为大多数用户所熟悉的界面，用户无需花费太多时间，就能轻松掌握界面的使用方法。6.7. 大规模网络下的入侵检测能力鹰眼网络入侵检测系统支持分布式体系结构，分为控制中心与探头，探头负责对所监测网段的数据采集与分析，并将得到的报警信息通过TCP数据通道发送到控制中心，控制中心则负责对所收到的所有报警信息进行汇总，分析，以及对所管辖的引擎的监控，管理，配置。整个体系结构的特点如下：l 可靠的数据传送通道我们通过可靠的TCP协议为探头与控制中心之间建立数据通道和管理通道，提供状态查询，判断，重连机制，确保控制中心能够随时监控每一个探头的连接

25、状态，并在连接中断时，自动重新建立连接。l 集中的命令下发机制：控制中心为每一个引擎的连接建立了一整套完整的数据结构描述，通过这个数据结构，能够对这些连接进行有效的识别和管理，用户通过控制中心所下达的命令将能够轻松的通过这些数据结构下达到部分或所有的探头。从而实现有效的集中管理和配置。l 海量的数据处理能力：控制中心将集中汇总所有的引擎报警信息，将其入库，并进行各种分析和统计，产生报表，因此其数据库的优化和处理能力就显得尤为重要，我们通过linux下的多线程机制的优点，以及对数据库表结构的优化设计，在高效硬件的配合下，使系统的处理能力大幅提高，从而实现对海量数据的快速处理。6.8. 完备的自身

26、安全性设计l 加密的远程数据通道：我们使用加密技术来确保鹰眼网络入侵检测系统在各个工作环节中所有的传输数据的安全性。这主要在两个方面：一、用户使用浏览器访问用户管理界面时，我们使用SSL技术为用户建立一条加密通道，为每一个用户浏览器安装独有的用户证书，用户管理主机与鹰眼设备之间通过X509证书进行双向验证，通过后所有交互数据均使用这条SSL通道进行传输；二、在分布式架构中，在探头与控制中心之间进行通信连接时，采用挑战响应算法进行连接合法性认证，数据传送时，对数据进行加密，确保传输开始前的相互认证和数据在传输过程中不会被窃听、篡改或者伪造。l OS的安全加固：鹰眼网络入侵检测产品使用了我们自主开

27、发的安全OS，该OS提供了多项安全功能，包括使用USB介质完成本地用户身份鉴别，根用户权限分割，系统调用时的权限验证等等，同时我们关闭了系统中所有无用服务，确保外部攻击者无法通过有问题的服务端口对产品进行攻击。l 隐藏自身的IP地址：鹰眼网络入侵检测系统的所有探测端口均屏蔽了自身的IP地址，使攻击者无法通过探测端口对鹰眼进行扫描和攻击，用户对鹰眼设备的访问以及探头与控制中心之间的通信过程均通过带外方式进行，与用户网络隔离，由此来确保鹰眼设备的安全性。l 界面中的多级用户管理：在鹰眼网络入侵检测系统的界面访问中，为了确保不会出现越权访问和操作，我们对用户进行了权限分配，包括四级用户，用户包括系统

28、管理员，日志管理员，普通管理员，普通用户，用户通过口令进行身份验证，不同用户具有不同权限，用户之间彼此制约，相互监督，确保系统操作的安全性。l 系统日志保存：由于用户对鹰眼网络入侵检测系统的所有操作均通过界面来完成，因此记录用户在界面上的所有操作，将有助于在出现安全问题时，能够通过这些原始记录寻找问题的原因，鹰眼网络入侵检测系统中保存了用户尤其是管理员用户对于设备的所有关键操作的日志，而这些日志只有日志管理员才能够查看，从而确保了其安全性和可靠性。6.9. 硬件的高可靠性设计l 使用特殊的ramdisk方式构造根文件系统，确保文件系统在任意掉电的情况下不会出现损坏或数据的丢失。l 使用LCD的

29、状态显示方式，能够随时监控设备的软件和硬件的工作指标的变化情况，确保在系统出现问题时，及时发现。l 提供串口的维护方式，在设备访问出现问题时，能够通过串口登录系统，对其进行各种维护操作。7. 产品典型应用环境7.1. 鹰眼网络入侵检测系统对于用户不同的网络拓扑和应用环境，鹰眼网络入侵检测系统的安装方式和网络结构均有所不同，以下通过两个范例说明鹰眼网络入侵检测系统在典型应用环境下的安装：（共享式网络环境）（交换式网络环境）上面的应用结构中，用户通过管理主机，以带外方式对鹰眼设备进行管理。7.2. 鹰眼分布式网络入侵检测系统该产品在鹰眼网络入侵检测系统的基础上，扩展为一个分布式入侵检测系统，该系统

30、采用分布式体系结构，由一个管理中心与多个检测探头组成，通过二者的协同工作，实现一个功能强大，集中管理的分布式入侵检测系统，其体系结构图如下：图3 鹰眼分布式网络入侵检测系统部署示意图该产品由一个管理中心与多个探头组成，能够在复杂的网络拓扑中实现一个功能强大，协同工作，集中管理的入侵检测系统。8. 产品技术指标8.1. 产品硬件规格鹰眼网络入侵检测系统NIDS100-S1n 机箱高度：1Un 尺寸：高43.2mm 宽482.6mm 深431.8mmn 重量：6.5KGn 工作温度：0-50n 相对湿度:：595%.40（不凝露）鹰眼千兆网络入侵检测系统NIDS1000-S4n 机箱高度：4Un 尺寸：高175mm 宽430mm 深605mmn 重量：23KGn 工作温度：5-40n 相对湿度:：595%.2530（不凝露）鹰眼分布式网络入侵检测系统控制中心n 机箱高度：1Un 尺寸：高42.4mm 宽430.0mm 深648.0mmn 工作温度：5-40n 重量：10KGn 相对湿度:：595%.2530（不凝露）百兆检测引擎n 机箱高度：1Un 尺寸：高43.2mm 宽482.6mm 深431.8mmn 重量：6.5KGn 工作温度：0-50n 相对湿度:：595%.40（不凝露）千兆检测引擎n 机箱高度：4Un 尺寸：高175mm 宽