文档介绍:UnisIDS 技术白皮书
1
2
UnisIDS 简介
入侵检测系统概述
入侵检测系统分类
不同于防止只针对具备肯理力量(Crystal Report) 支持在线升级
详尽的挂念 (支持在线挂念)
Network Agent(网络引擎)通过对网络数据包的实时分析得到的,它可以检测各种不同类型的攻击,包括扫描、拒绝服务等。
通过分析网络上的数据包进行入侵检测
入侵者难以消退入侵痕迹 – 可以用于监视资料可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
扫描 – 利用各种协议的脆弱点
服务拒绝攻击 –利用各种协议的脆弱点攻击代码规章匹配 –识别各种服务命令
可机敏运用为其它用途
检测/防止网络错误活动分析、监控网络流量
防止机密资料的流失多种入侵响应
向治理中心发警告消息 向平安治理员发 Email 记录大事日志和整个会话
截断入侵连接
Host Agent(主机引擎)通过对系统资源、进程、日志等的实时监视,发觉可疑的入侵行为并做相应的分析和验证,保证系统数据的完整性。
可识别入侵成功与否
可以跟踪、监视系统内部行为检测系统缓冲区溢出
基于主机的入侵检测可以区分为
基于单机的入侵检测系统(收集单一系统的监视资料并推断入侵与否)
基于多机的入侵检测系统(从多个主机收集监视资料并推断入侵与否)
入侵响应
向治理中心发警告消息向平安治理员发 Email
杀死进程、父进程、进程组或进程对话 锁定用户帐号、终止系统、禁止网络访问记录大事日志和整个会话
便利性和有用性
UnisIDS 软件包对于治理者来说是使用便利、有用且有效的信息平安工具。它具有如下功能:
供应便利且友好的用户界面响应方法便于自主选择
识别大范围的地址监视网络流量
监测各种类型的信息包
7
供应包含实际攻击内容的日志
通过检测模式的优化来减小网络负担支持监控和堵塞技术
革新性的技术
可以穿越防火墙,通过内建的监视器,通过设置多台代理监视可以实现监控,并把握多个子网内部的活动,而且不影响网络性能。
通过报表可以猎取有关网络活动和使用状况的具体报告,可以依据这些信息调整我们的内部网络使用策略。
可以实时监控网络使用状况,检测网络上通过的信息。
可以从设置的每个代理收集资料并进行集中治理,因此也适用于大型网络。
平安性提高
UnisIDS 软件包通过检测发生在 TCP/IP 协议上的可能存在的哄骗因素来提高平安性。
UnisIDS 软件包为以互联网技术背景的电子商务环境供应完整的平安解决方案。接受便利全面的方法监视网络,对入侵行为进行、堵塞、报警并供应入侵日志。
UnisIDS 主要的用户对象是各个单位的网络平安治理者、各信息平安询问公司、信息平安法律执行机关、大中型企业、ISP、ICP、训练机构以及政府机构。
UnisIDS 软件包可以在不影响网络速度的状况下监视特定的应用会话,对入侵进行检测以及响应。同时可以在不影响网络性能的状况下配置几台 Network Agent 来各自执行,供应详尽的设置功能,以适应大型网络,。
UnisIDS 的功能
UnisIDS 可以对网络进行监控,并且对入侵作出响应。对网络使用状况进行监控
检测是否发生入侵,以及违反策略的网络活动监视并堵塞对有害站点得扫瞄
邮件监视(可以监视邮件的收件人、发件人和所发送的文件)
8
可以限制一些网络活动 (如 Telnet, FTP, HTTP 等等) 可以供应具体的监视报告
供应多种入侵响应方式
1) 网络监视
UnisIDS 基于 TCP/IP 实现网络监视功能,可以通过定义各种平安策略来实现入侵检测、WEB 监视、邮件监视等功能。
监视对一些特定网站的访问
监视使用特定网络协议进行访问的用户活动监视包含特定站点和关键字的邮件信息
监视网络活动,检测是否存在攻击行为(主要针对拒绝服务攻击) 监视网络上的入侵活动
2)入侵检测
UnisIDS 可以由定义的入侵模式检测数百种类型的入侵。入侵分为如下四种。
通过详尽的入侵检测引擎,检测网络协议攻击在目前的产品中供应最多种类的拒绝服务检测
可以转变用户权限,在超级用户模式下检测对服务器的任意操作用户可以启动多条入侵检测功能来检测特定用户访问服务器、访
问特定服务器以及使用特定服务的状况。
另外也可以这些功能的基础上,可以依据时间段添加特定平安策略。
入侵响应
UnisIDS 对违反定义的平安策略的各种活动或者入侵行为以各种方式进行响