文档库 最新最全的文档下载
当前位置:文档库 › 蓝盾入侵检测系统技术白皮书

蓝盾入侵检测系统技术白皮书

蓝盾入侵检测系统技术白皮书
蓝盾入侵检测系统技术白皮书

蓝盾入侵检测系统 蓝盾入侵检测系统

技术白皮书

技术白皮书

蓝盾信息安全技术股份有限公司

蓝盾信息安全技术股份有限公司

目 录

第1章入侵检测系统概述 (4)

1.1关于入侵检测系统 (4)

1.2术语和定义 (4)

1.3入侵检测的分类 (4)

1.4入侵过程和手段 (6)

第2章蓝盾入侵检测系统简介 (8)

第3章产品组成 (9)

3.1检测引擎 (9)

3.2控制中心 (9)

3.3选配软件 (9)

第4章体系结构 (10)

第5章引擎硬件配置 (13)

第6章技术强项 (14)

6.1反向拍照 (14)

6.2蠕虫检测隔离 (14)

6.3全网防御体系 (14)

6.4基于内核层的千兆检测技术 (15)

6.5多网段检测、集中管理 (15)

6.6优化的IP分片重组技术 (15)

6.7高效的TCP流重组及检测技术 (15)

6.8细粒度的协议分析及智能模式检测算法 (15)

第7章主要功能特点 (17)

7.1固化、稳定、高效的检测引擎及稳定的运行性能 (17)

7.2检测模式支持和协议解码分析能力 (17)

7.2.1同时支持基于主机和网络两种检测模式 (17)

7.2.2支持多种协议解码分析 (17)

7.3检测能力 (18)

7.3.1完备的分析检测能力 (18)

7.3.2强大的攻击特征模式库 (18)

7.3.3强大的蠕虫检测能力 (19)

7.3.5实时检测基于服务的攻击行为 (19)

7.3.6有效的异常检测技术 (19)

7.3.7违规行为检测功能 (20)

7.3.8 网络流量分析 (20)

7.3.9 URL关键数据阻断 (20)

7.4策略设置和升级能力 (20)

7.4.1灵活的策略设置 (20)

7.4.2支持实时系统升级 (21)

7.4.3不断更新的入侵模式 (21)

7.4.4支持远程升级 (21)

7.4.5支持IP地址与MAC地址的绑定 (21)

7.5响应能力 (21)

7.5.1实时的检测分析、响应能力 (21)

7.5.2支持多种报警和响应手段 (21)

7.6管理能力 (22)

7.6.1多网段检测、集中管理 (22)

7.6.2支持分级监控、集中管理 (22)

7.6.3集管理、监控和分析功能于一体的图形化控制台 (22)

7.7审计、取证能力 (22)

7.7.1强大的信息记录、查询能力 (22)

7.7.2强大的审计和实用的报表功能 (23)

7.7.3支持“日志快照”反日志攻击技术 (23)

7.7.4支持“反向拍照”取证技术 (23)

7.8联动协作能力 (24)

7.8.1全面的联动能力 (24)

7.8.2构建全网防御体系 (24)

第8章典型应用 (25)

8.1小型检测环境 (25)

8.2多子网检测集中管理环境 (25)

8.3分级检测管理环境 (26)

8.4全网防御体系 (27)

第9章蓝盾入侵检测系统功能配置说明 (29)

第1章 入侵检测系统概述入侵检测系统概述

1.1 1.1 关于入侵检测系统关于入侵检测系统关于入侵检测系统

入侵检测系统(Intrusion Detection System)就是对网络或操作系统上的可疑行为做出策略反应,及时切断入侵源,记录、并通过各种途径通知网络管理员,最大幅度地保障系统安全。同时它也是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门。它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。

1.2 1.2 术语和定义术语和定义术语和定义

入侵 intrusion 任何企图危害资源完整性、保密性、可用性的行为。

报警 alert 当有入侵正在发生或正在尝试时,入侵检测系统向系统操作员、管理人员发出的紧急通知,可以消息、邮件等形式发出。

入侵特征 intrusion features 入侵检测系统预先定义好的能够确认入侵行为的特定信息。 引擎 engine 入侵检测系统中进行数据采集、分析的软硬件的集合体。

1.3 1.3 入侵检测的分类入侵检测的分类入侵检测的分类

(1) 入侵检测系统按照其数据来源来看,可以分为三类:

基于主机的入侵检测系统:

基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志作为输入,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上,试图从日志判断滥用和入侵事件的线索。

基于网络的入侵检测系统:

基于网络的入侵检测系统在计算机网络中的某些关键点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

采用上述两种数据来源的分布式的入侵检测系统:

这种入侵检测系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,有多个部件组成。

(2) 入侵检测系统按照其采用的方法来看,可以分为三类:

基于行为的入侵检测系统 :

基于行为的入侵检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。这种入侵检测基于统计方法,使用系统或用户的活动轮廓来检测入侵活动。审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。

基于模型推理的入侵检测系统:

基于模型推理的入侵检测根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

采用两者混合检测的入侵检测系统:

以上两种方法每一种都不能保证能准确地检测出变化无穷的入侵行为。一种融合以上两种技术的检测方法应运而生,这种入侵检测技术不仅可以利用模型推理的方法针对用户的行为进行判断而且同时运用了统计方法建立用户的行为统计模型,监控用户的异常行为。 (3) 入侵检测系统按照时间又可以分为两类:

实时入侵检测系统:

实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是自动的、不断循环进行的。

事后入侵检测系统:

事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。管理员定期或不定期进行事后入侵检测,不具有实时性,因此防御入

侵的能力不如实时入侵检测系统。

入侵过程和手段

1.4入侵过程和手段

入侵技术和手段是不断发展的。从攻击者的角度说,入侵所需要的技术是复杂的,而应用的手段往往又表现得非常简单,这种特点导致攻击现象越来越普遍,对网络和计算机的威胁也越来越突出。

信息探测

信息探测

信息探测一般是入侵过程的开始,攻击者开始对网络内部或外部进行有意或无意的可攻击目标的搜寻,主要应用的技术包括:目标路由信息探测、目标主机操作系统探测、端口探测、帐户信息搜查、应用服务和应用软件信息探测以及目标系统已采取的防御措施查找等等。目前,攻击者采用的手段主要是扫描工具,如操作系统指纹鉴定工具、端口扫描工具等等。

攻击尝试

攻击尝试

攻击者在进行信息探测后,获取了其需要的相关信息,也就确定了在其知识范畴内比较容易实现的攻击目标尝试对象,然后开始对目标主机的技术或管理漏洞进行深入分析和验证,这就意味着攻击尝试的进行。目前,攻击者常用的手段主要是漏洞校验和口令猜解,如:专用的CGI 漏洞扫描工具、登录口令破解等等。

权限提升

权限提升

攻击者在进行攻击尝试以后,如果成功也就意味着攻击者从原先没有权限的系统获取了一个访问权限,但这个权限可能是受限制的,于是攻击者就会采取各种措施,使得当前的权限得到提升,最理想的就是获得最高权限(如Admin 或者Root 权限),这样攻击者才能进行深入攻击。这个过程就是权限提升。目前,攻击者常用的手段主要是通过缓冲区溢出的攻击方式。

深入攻击

深入攻击

攻击者通过权限提升后,一般是控制了单台主机,从而独立的入侵过程基本完成。但是,攻击者也会考虑如何将留下的入侵痕迹消除,同时开辟一条新的路径便于日后再次进行更深入地攻击,因此,作为深入攻击的主要技术手段就有日志更改或替换、木马植入以及进行跳板攻击等等。木马的种类更是多种多样,近年来,木马程序结合病毒的自动传播来进行入侵植入更是屡见不鲜。

拒绝服务

拒绝服务

如果目标主机的防范措施比较好,前面的攻击过程可能不起效果。作为部分恶意的攻击

者还会采用拒绝服务的攻击方式,模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源,使正常的服务变得非常困难,严重的甚至导致目标主机宕机,从而达到攻击的效果。目前,拒绝服务工具成为非常流行的攻击手段,甚至结合木马程

序发展成为分布式拒绝服务攻击,其攻击威力更大。

蓝盾入侵检测系统简介

第2章蓝盾入侵检测系统简介

蓝盾入侵检测系统(BD-NIDS)是由蓝盾信息安全技术股份有限公司自主研发的基于网络的入侵检测系统。该系统是一种实时的网络入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告,实时对攻击作出反应,并提供补救措施,最大程度地为网络系统提供安全保障。

蓝盾入侵检测系统具有强大的检测能力,能检测出两千多种攻击行为,同时引进蜜罐(攻击陷阱)、关联分析、蠕虫检测隔离等先进技术,并采用了国际首创的反向拍照技术,对黑客身份进行多维特征识别、取证,为进一步追踪黑客提供了有力的线索和证据。

只有紧跟黑客技术发展,入侵检测系统才更有生命力。从1999年蓝盾信息安全技术股份有限公司成立并进入网络安全行业以来,就制定了公司的研发方向,公司依靠广东省科技厅、中山大学、华南理工大学和华南师范大学等部门和院校强有力的技术和实力的支持,以高起点、高技术、高目标、高效益、高速度的发展战略,积极参与网络安全建设,不断壮大自身的实力,集中技术力量展开对网络安全领域各项技术的跟踪和创新,研究黑客技术并为我所用。通过5年来的努力,本公司成功研发了蓝盾防火墙系统、蓝盾入侵检测系统、蓝盾漏洞扫描系统、蓝盾内网安全保密系统、蓝盾黑客追踪稽查系统、蓝盾DDOS防御网关等安全产品,并构建了一个有效的整体安全架构。1999年本公司在该系统立项之际,便成立了蓝盾网络安全监控中心,该中心积极参与国内国际网络安全学术研讨,通过多年的技术跟踪和创新,有了大量的技术积累,并建立了相互关联的入侵规则库和漏洞库。

蓝盾入侵检测系统已被政府、公安、电信、教育等行业共1200多家单位使用,取得了良好的应用效果。

第3章 产品组成产品组成

该系统由两部分组成:检测引擎和控制中心。检测引擎采用专用硬件设备以旁路方式接入网络关键点,控制中心以软件的形式提供,安装在管理主机上,提供攻击报警和管理配置功能。

3.1 3.1 检测引擎检测引擎检测引擎

检测引擎实际上是该系统运行的核心,它监听该引擎所在物理网络上的所有通信信息,并分析这些网络通信信息,将分析结果与检测引擎上运行的策略集相匹配,依照匹配结果对网络信息的交换执行报警、阻断、写入日志等功能。同时它还需要完成对控制中心指令的接收和响应工作。BD-NIDS 的检测引擎部分是由策略驱动的网络监听和分析系统组成。

3.2 3.2 控制中心控制中心控制中心

控制中心是整个入侵检测系统的控制部分。它负责接收网络上多个检测引擎传回的多种信息,处理这些信息,并提供入侵预警,控制中心还负责控制检测引擎系统的运行,提供对报警信息、原始网络信息的记录、检索、统计等功能。

3.3 3.3 选配软件选配软件选配软件

主机代理客户端软件主机代理客户端软件::安装在内网各主机上,对内网主机实施入侵检测和保护。具有网络检测防护、共享防护、文件检测防护、注册表检测防护、主机日志监控、设备管理和认证、主机资源审计、异常检测、外联监控等功能。

蜜罐软件蜜罐软件::虚拟WWW 、FTP 、SMTP 、POP3、TELNET 等各种网络服务,设置攻击陷阱,误导黑客对其进行攻击,并对攻击过程进行全程监控、记录取证。

服务器实时监控及日志分析软件服务器实时监控及日志分析软件::运行在目标服务器上,对服务器的进程、连接、开放端口、注册表、日志、邮件等进行实时监控,并对WWW 、FTP 、SMTP 、POP3、TELNET 、

NNTP 等应用服务日志进行自动分析,提取出有探测和攻击企图的敏感记录。

体系结构

第4章体系结构

该系统体系结构见下图:

分组捕获器

通过分组捕获机制,为入侵检测系统提供从物理网络(网络接口卡)直接收集数据链路层网络原始信息的能力。最关键的是要保证高速和避免丢包,这不仅仅取决于软件的效率还同硬件的处理能力相关。

网络协议解码器

实现了相当于计算机系统中网络协议栈的功能,将由分组捕获器获得的原始网络信息,根据不同的网络协议解码相应的分组数据结构,并将已解码的协议分

组信息提交入侵检测引擎和轮廓引擎。系统对捕获的每一个数据包在不同的网络

层次进行协议解析,在数据链路层,系统可针对以太网、令牌环及PPP等协议进

行解码;在网络层,系统可针对IP、IPX、ARP及ICMP等协议进行解码;在传

输层,系统可针对TCP和UDP等协议进行解码;在应用层可对http、telnet、smtp、

pop、ftp等协议解码。

预处理模块

预处理模块

用于预先处理各种网络信息,比如TCP流重组、UNICODE漏洞检测等,为检测做铺垫,从而提高检测的准确性和速度。预处理模块还可统计流量异常事件,可以检测各种已知或未知的入侵企图。

特征匹配模块

特征匹配模块

对已解码的网络协议数据进行分析,并从这些网络活动中寻找预先定义的攻击模式,一旦发现其中含有攻击事件的特征标志,即将此事件提交预警模块。

预警模块

预警模块

根据入侵检测引擎提交的事件种类,根据预先指定的响应行为来执行相应的动作,如联动、预警、拍照、阻断等。

规则库

规则库

描述攻击事件的特征和相应的响应规则。用来对入侵检测引擎进行控制,使其能根据所描述的攻击事件模式特征来识别攻击事件,并控制预警系统的相应动作。

检测引擎的信息处理分中心

检测引擎的信息处理分中心

用于同控制中心进行各种信息的交流,包括接受控制中心的命令、向控制中心报警、为控制中心提供各种原始网络信息等功能。

控制中心的信息处理中心

控制中心的信息处理中心

用于同检测引擎的信息处理分中心进行通讯,其功能包括控制各检测引擎、接收检测引擎送回的各种命令。还可从各种防火墙、IDS、交换机、路由器等安全设备的日志服务器中读取日志和与安全设备沟通而检查安全设备状态。

预警响应中心

预警响应中心

用于将检测引擎送回的各种预警信息记录在案并向系统管理员报警。

机器学习模块

机器学习模块

对预处理系统中发现的入侵事件进行智能分析,自动的找出入侵特征,然后生成模式扩充到入侵模式库中,同时将异常行为通知预警模块。

联动中心

联动中心

在检测到入侵时,发送包含入侵源IP地址、入侵目标IP地址、入侵源端口和目标端口等信息给联动端,如防火墙、扫描器、路由器、服务器、桌面主机,这样构筑了一个整体网络安全防御体系。

拍照

中心

拍照中心

中心

在接收到预警模块发送来的拍照信息时,便启动拍照进程,主动对入侵者进行拍

照,将拍照获取的信息发送到控制中心进行管理。

引擎硬件配置

第5章引擎硬件配置

接口规范

a.网络接口:检测口为3个10M/100M自适应 RJ45端口,管理口为1个10M/100M

自适应 RJ45端口。

b.CONSOLE口:RS232C,DTE,9600-8-N-1

电气性能

a. 电源:AC 110/220V 50/60HZ ,3.0A (最大),260W (最大)

b. 环境规范:

运行温度:0 — 45 摄氏度

非运行温度:-20 — 65 摄氏度

相对湿度:10 — 90%@40 摄氏度,非冷凝

执行的国家标准

参考的安全规范及标准(相对参考)

UL 1950

EN 41003

AS/NZS 3260

AS/NZS 3548 Class A

CSA Class A

FCC Class A

EN 60555-2

VCCI (ClassII )

抗干扰性

IEC 1000 4 2 (ESO )

IEC 1000 4 3 (辐射敏感性)

IEC 1000 4 4 (电快速瞬变)

IEC 1000 4 5 (电源)

IEC 1000 3 2 (谐波)

第6章 技术强项技术强项

6.1 6.1 反向拍照反向拍照反向拍照

BD-NIDS 拥有国际首创的反向拍照技术,利用这种自行研制的独特的技术不但能捕捉到黑客的IP 和其它入侵信息,还能给黑客拍一张 “全身照”,记录黑客的主机名、操作系统类型、版本、开放的服务、端口等主机特征信息,为有关部门进一步追踪黑客和取证提供了有力的依据。

6.2 6.2 蠕虫检测隔离蠕虫检测隔离蠕虫检测隔离

BD-NIDS 拥有强大的蠕虫检测隔离能力。内置有500多条蠕虫检测规则,可实时检测各种蠕虫,如SQL 蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫,因此在一定的程度上能解决蠕虫滞后的问题。如检测到有被蠕虫感染的主机,主机代理检测客户端软件还会自动进行蠕虫病毒隔离,防止病毒感染其它主机,但不影响该主机的其它正常应用。

6.3 6.3 全网防御体系全网防御体系全网防御体系

BD-NIDS 提供服务器监控和桌面主机代理检测客户端,通过在内网每台主机上安装代理检测客户端软件,与本系统检测引擎进行联动,构成一个“全网防御”体系,可以有效防御

冲击波、震荡波等大规模蠕虫攻击。

6.4 6.4 基于内核层的千兆检测技术基于内核层的千兆检测技术基于内核层的千兆检测技术

BD-NIDS 支持千兆高速网络,强大的数据处理能力能满足大型ICP 网站和电信骨干网络中大流量的过滤检测要求。蓝盾入侵检测系统基于内核层的千兆处理技术内核层的千兆处理技术

内核层的千兆处理技术彻底解决了其它IDS 系统存在的千兆丢包问题。

6.5 6.5 多网段检测多网段检测多网段检测、、集中管理集中管理

BD-NIDS 可以检测用户系统的多个网络。根据用户具体需求,每个检测引擎可以同时检测多达5个用户网络。强大的多网络检测能力将提高检测的准确性,也将极大地节约包括购买开支、管理开支在内的各项开支。BD-NIDS 检测引擎系统可以集中由控制中心系统进行管理。集中管理可以极大地减少管理工作量。

6.6 6.6 优化的优化的IP 分片重组技术分片重组技术

对于入侵检测系统来说,IP 分片重组是进行检测工作最为基本且至关重要的内容。由于网络环境中MTU 的限制,一些IP 报文在传输时需要进行分片传输,在对这些报文进行进一步分析之前需要进行分片重组,因此IP 分片重组的效率也是直接影响到系统开销及整体性能的一个非常重要的因素。为了最大限度地提高IP 分片重组效率,蓝盾入侵检测系统具有会话级碎片重组,并采用了多监控模块进行IP 分片重组,从而有效解决了因IP 分片重组造成的性能瓶颈。

6.7 6.7 高效的高效的TCP 流重组及检测技术流重组及检测技术

BD-NIDS 具有高效的TCP 流重组技术, 如可重组TCP 连接双方的通讯,组合各个攻击包,使所有的组合包攻击技术无能为力。并且能够有效检测基于应用层的入侵或误用行为。

6.8 6.8 细粒度的协议分析及智能模式检测算法细粒度的协议分析及智能模式检测算法

细粒度的协议分析及智能模式检测算法 BD-NIDS 采用了基于协议分析的智能模式检测算法,通过内置的强大应用协议解码

器,把网络会话及数据报文快速提取到相关检测模块,并及时调用相应检测引擎进行快速检测。由于建立在细粒度的协议分析基础之上调用相关检测模块,因此大大缩小了检测范围并提高了检测效率。同时在进行入侵检测时,一次检测可以

同时针对若干个相关模式进行,从而大大提高了效率。

第7章 主要功能特点主要功能特点

7.1 7.1 固化固化固化、、稳定稳定、、高效的检测引擎及稳定的运行性能高效的检测引擎及稳定的运行性能

BD-NIDS 检测引擎是固化的,采用标准的工业机箱结构,可以方便的放置到标准机柜中,便于机房管理人员的管理。

检测引擎的操作系统是BDOS2.0,是蓝盾信息安全技术股份有限公司自主开发的蓝盾防火墙操作系统的改进版。检测引擎系统软件已经预先配置完毕;检测引擎内建有蓝盾防火墙,自身安全性很高,可以防范针对检测引擎的攻击。

蓝盾入侵检测系统是纯硬件架构,含检测与分析功能:支持事件统计分析,协议异常检测,可有效防止各种攻击欺骗。可检测1800类以上的攻击。

蓝盾入侵检测系统采用内存零拷贝、零系统调用以及AMPFAT 高性能网络数据包处理技术,可保持稳定的运行性能。

7.2 7.2 检测模式支持和协议解码分析能力检测模式支持和协议解码分析能力检测模式支持和协议解码分析能力

7.2.1同时支持基于主机和网络两种检测模式同时支持基于主机和网络两种检测模式

BD-NIDS 同时支持基于主机和网络两种检测模式,既有检测网络数据的硬件检测引擎,又有安装在各主机上的主机代理检测客户端软件,能够同时监控主机和网络的入侵信号,在系统受到危害之前发出警告,实时对攻击作出反应,最大程度地为主机和网络提供安全保障。

7.2.2支持多种协议解码分析支持多种协议解码分析

能对ARP、RPC、HTTP、FTP、TELNET、SMTP 等多种应用协议进行解码分析,能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术。

7.3 7.3 检测能力检测能力检测能力

7.3.1完备的分析检测能力

BD-NIDS 具有完备的功能,主要的功能包括:TCP 流重组,端口扫描检测、IP 碎片重组、BO 攻击分析、异常轮廓统计分析、ARP 欺骗分析、UNICODE 漏洞分析、RPC 请求分析、TELNET 交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术。

系统具有强大的IP 处理能力,能防止黑客进行各种碎片攻击。TCP 多包组合攻击技术(攻击分许多包发送,一次一个或几个字节)可以轻松地绕过普通的模式匹配类型的入侵检测系统。BD-NIDS 的TCP 流重组功能可以重组TCP 连接的双方的通讯,组合各个攻击包,使所有的组合包攻击技术无能为力。

端口扫描是入侵的先兆,黑客一般是先通过扫描来确定用户系统的类型,然后针对性的进行攻击。BD-NIDS 具备识别端口扫描功能。普通的入侵检测系统只能识别简单的TCP 端口扫描,不能识别黑客的其它扫描。BD-NIDS 可以识别包括TCP 扫描、UDP 扫描、SYN 扫描、SYN+FIN 扫描、NULL 扫描、XMAS 扫描、Full XMAS 扫描、Reserved Bits 扫描、Vecna 扫描、NO ACK 扫描、NMAP 扫描、SPAU 扫描、Invalid ACK 扫描在内的几乎所有扫描方式。

UNICODE 漏洞和缓冲溢出漏洞是最常用的攻击手法,也是最常见的系统漏洞,BD-NIDS 可以有效的检测到。

BD-NIDS 具有完备的功能,特别是BD-NIDS 的异常轮廓统计分析技术,使入侵检测系统具有自主学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形式的入侵、变种的入侵、系统误用。

7.3.2强大的攻击特征模式库

BD-NIDS 内置攻击模式库有2600多条,能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。

能检测的主要攻击包括: WEB_ATTACKS 攻击、WEB_IIS 攻击、WEB_CGI 攻击、WEB_FRONTPAGE 攻击、FTP 攻击、DOS 攻击、DDOS 攻击、BACKDOOR 攻击、NETBIOS 攻击、ICMP 攻击、ICMP_EVENT 攻击、DNS 攻击、SMTP 攻击、SCAN 攻击、RPC 攻击、MSSQL 攻击、TELNET 攻击、VIRUS 攻击、

SHELLCODE攻击、REMOTE_SERVICE攻击、FINGER攻击、OVERFLOW攻击等。

7.3.3强大的蠕虫检测能力

BD-NIDS拥有强大的蠕虫检测隔离能力。内置有500多条蠕虫检测规则,可实时检测各种蠕虫,如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫,因此在一定的程度上能解决蠕虫滞后的问题。

快速的蠕虫隔离能力

7.3.4快速的蠕虫隔离能力

如检测到有被蠕虫感染的主机,主机代理检测客户端软件还会自动进行蠕虫病毒隔离,防止病毒感染其它主机,但不影响该主机的其它正常应用。

实时检测基于服务的攻击行为

7.3.5实时检测基于服务的攻击行为

BD-NIDS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。

7.3.6有效的异常检测技术

有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIDS的异常轮廓统计分析技术,使入侵检测系统具有自学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形式的入侵、变种的入侵、系统误用。

BD-NIDS使用的异常检测模块的设计原理图如下图。异常数据包跟踪模块从预处理模块获取异常数据包,并建立起跟踪队列,同时使用异常检测方法进行深入的异常检测。为了加快异常检测速度,在异常数据包跟踪模块使用多线程协同式跟踪分析技术。流量状态监控模块监控网络流量状态及每一工作主机的流量状况,同时实时计算出流量变化情况。会话监控模块监控TCP会话,从中发现异常会话。在异常集中分析机器学习模块,将异常数据包跟踪模块、流量状态监控模块、会话监控模块的监控结果进行集中分析、集中关联、集中检测,从中发现异常特征,并进行预警和规则入库。

7.3..3.77违规行为检测功能违规行为检测功能

用户可以定义一些规则,监控内部网络各主机间的连接,保护一些重要的主机和服务器,对违反规定或不应该出现的连接,即使还没发生攻击,系统也会进行报警。支持对未受权外联行为的检测。

7.3..3.8 8 8 网络流量分析网络流量分析网络流量分析

BD-NIDS 提供流量统计分析功能。能统计、分析网络数据流量,发现异常并及时报警。

7.3..3.9 URL 9 URL 关键数据阻断关键数据阻断

蓝盾入侵检测系统支持对URL 关键数据的阻断,并动态过滤。

7.4 7.4 策略设置和升级能力策略设置和升级能力策略设置和升级能力

7.4.1灵活的策略设置灵活的策略设置

BD-NIDS 检测引擎内置了大约2600条入侵模式,可以检测已知的大部分入侵,BD-NIDS 同时允许有经验的高级用户自定义入侵模式及特征,做到量体裁衣,检测用户最为关注的事件,并能重现入侵攻击事件。

入侵检测系统的研究

入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为

止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系

入侵检测技术 课后答案

习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1

实验十三 IDS设备部署与配置.

实验十三 IDS设备部署与配置 【实验名称】 IDS设备部署与配置 【计划学时】 2学时 【实验目的】 1.熟悉IDS设备的部署方式 2.掌握设备的连接和简单设置 【基本原理】 一、IDS的4种部署方式 1镜像口监听 镜像口监听部署模式是最简单方便的一种部署方式,不会影响原有网络拓扑结构。在这种部署方式中,把NIDS设备连接到交换机镜像口网络后,只需对入侵检测规则进行勾选启动,无需对自带的防火墙进行设置,无需另外安装专门的服务器和客户端管理软件,用户使用普通的Web浏览器即可实现对NIDS的管理(包括规则配置、日志查询、统计分析等),大大降低了部署成本和安装使用难度,增加了部署灵活性。 部署方式如下图所示:

2NA T模式(可充当防火墙) NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置,适合于没有防火墙等防护设备的网络。在这种部署方式中,蓝盾NIDS设备可同时作为防火墙设备、防DDoS 攻击网关使用,可有效利用内置的防火墙进行有效入侵防御联动。NAT部署采取串联方式部署在主交换机前面,需要对网络拓扑结构进行改造,需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置,以达到多重防御的效果。用户通过Web浏览器可实现对NIDS 的全面管理(包括规则配置、日志查询、统计分析等)。 部署方式如下图所示:

3透明桥模式 透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能,也可以不必改变原有网络拓扑结构。在这种部署方式中,蓝盾NIDS 设备可同时作为防火墙设备、防DDoS攻击网关使用,可以利用内置的防火墙进行有效入侵防御联动。用户通过Web浏览器可实现对NIDS的全面管理(包括规则配置、日志查询、统计分析等)。通常可以透明方式部署在DMZ区域,可将NIDS作为第二道防护网保护服务组群。部署方式如下图所示:

入侵检测系统

入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。

入侵检测系统研究的论文

入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应

蓝盾信息攻防实验室技术白皮书

蓝盾信息攻防实验室 技术白皮书 蓝盾信息安全技术股份有限公司

目录 一.背景 (3) 1.1背景 (3) 1.2目的 (3) 二.信息安全攻防实验室概述 (4) 2.1概述 (4) 2.2系统组成 (4) 2.2.1系统软硬件 (4) 2.2.2系统模块构成 (5) 2.3课程设计 (5) 三.教学实验室管理平台系统功能 (7) 3.1用户管理 (7) 3.2设备管理 (8) 3.3系统管理 (8) 3.4课件管理 (9) 3.5考试管理 (9) 3.6控制台 (9) 3.7平台拓扑 (10) 3.8架构图和部署方式 (11) 四.攻防实验室平台特点 (12) 五.性能指标(默认装配设备) (13) 附录:基础课程安排 (14) 1.法律法规基础教育: (14) 2.网络攻击教学和实验: (14) 3.安全防御教学和实验: (14) 4.配套安全硬件: (15)

一.背景 1.1背景 随着信息技术不断发展,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来,用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 然而,种种安全措施并不能阻止来自各方各面的安全威胁,病毒、木马、黑客攻击、网络钓鱼、DDOS等妨害网络安全的行为手段层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 也正因如此,国内市场对于网络安全人才的需求日趋迫切,网络安全行业的就业需求将以年均14%的速度递增,网络安全人才的薪资水平普遍较高,走俏职场成为必然。 于是,我们开始关注对于网络安全人才的教育培训。但目前对于大部分高校来说,安全教育培训仍是薄弱环节: 1.虽设有信息安全专业,但没有建设完整的有特色的安全实验室; 2.实验设备简陋、单一,大部分实验仍然依托虚拟机来进行,实验效果大打折扣; 3.教师信息安全教学经验不足,无法切合学生实际情况进行针对性的教学; 4.实验室千篇一律,配套多媒体教案不足,可开展的实验内容过于陈旧。 在这种背景之下,在高校内建设信息攻防实验室就成为势在必行。 1.2目的 1)提高学生理论水平 2)锻炼学生实际动手能力

入侵检测技术

入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵

入侵检测试题

1、绘出Denning入侵检测系统模型图,并对这一模型图进行简要的文字说明。 答: 在如图所示的通用入侵检测模型中,事件生成器从给定的数据来源中,生成入侵检测事件,并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件,自动更新系统行为的活动档案;规则库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规则自动地删减规则库中的规则集合。 2、P2DR模型的内容有哪些? 答:具体而言,P2DR模型的内容包括如下。 ⑴策略:P2DR模型的核心内容。具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。 ⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。 ⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。 ⑷响应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。 3、可用于入侵检测的的统计模型有哪些? 答:4种可以用于入侵检测的统计模型是: (1)操作模型 (2)均值与标准偏差模型 (3)多元模型 (4)马尔可夫过程模型 4、PBEST系统包括哪些部份?各部份具体的内容是什么? 答:PBEST系统包括一个规则翻译器pbcc、一个运行时例程库和一组垃圾收集例程。规则翻译器接收一组规则(rule)和事实(fact)的定义后,生成一组C语言的例程,用来“断言”(assert)事实和处理规则。运行时例程库中包含了所有专家系统中的共享代码,并且包括支持交互式专家系统引擎的例程。这些交互式的环境将能够帮助用户查看程序的运行情况、设置和清除断点、删除和“断言”事实以及观察规则点火的影响轨迹等。 5、

常见安全设备整理

计算机信息系统安全产品概述 一、安全设备整体分类 1.1、整体概述 计算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全,设备安全和媒体安全三个方面。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访问控制,加密与鉴别七个方面。 1.2、术语定义 计算机信息系统(Computer Information System)是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机信息系统安全专用产品(Security Products for Computer Information Systems)是指用于保护计算机信息系统安全的专用硬件和软件产品。 实体安全(Physical Security)保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。 运行安全(Operation Security)为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。信息安全(Information Security)防止信息财产被故意的或偶然的非授权泄露、

更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。 黑客(Hacker)对计算机信息系统进行非授权访问的人员。 应急计划(Contingency Plan)在紧急状态下,使系统能够尽量完成原定任务的计划。 证书授权(Certificate Authority)通过证书的形式证明实体(如用户身份,用户的公开密钥等)的真实性。 安全操作系统(Secure Operation System)为所管理的数据和资源提供相应的安全保护,而有效控制硬件和软件功能的操作系统。 访问控制(Access Control)指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 防火墙(Fire Wall)设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。计算机病毒(Computer Virus)是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。 1.3、类别体系 实体安全包括环境安全、受灾防护、受灾恢复计划辅助软件、区域防护、设备安全、媒体安全。运行安全包括:风险分析、审计跟踪、备份与恢复、应急。信息安全包括:操作系统安全、数据库安全、网络安全、计算机病毒防护、访问

第8章 入侵检测系统(IDS)及应用习题答案

习题答案 一、填空题 1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。 2. 入侵检测系统是进行入侵检测的软件与硬件的组合。 3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。 4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和 基于网络的入侵检测系统。 5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。 6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。 二、选择题 1.IDS产品相关的等级主要有(BCD)等三个等级: A: EAL0 B: EAL1 C: EAL2 D: EAL3 2. IDS处理过程分为(ABCD )等四个阶段。 A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段 3. 入侵检测系统的主要功能有(ABCD ): A: 监测并分析系统和用户的活动 B: 核查系统配置和漏洞 C: 评估系统关键资源和数据文件的完整性。 D: 识别已知和未知的攻击行为 4. IDS产品性能指标有(ABCD ): A:每秒数据流量 B: 每秒抓包数 C: 每秒能监控的网络连接数 D:每秒能够处理的事件数 5. 入侵检测产品所面临的挑战主要有(ABCD ): A:黑客的入侵手段多样化 B:大量的误报和漏报 C:恶意信息采用加密的方法传输 D:客观的评估与测试信息的缺乏

三、判断题 1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。(F ) 2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。 ( T ) 3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F ) 4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T ) 四、简答题 1. 什么是入侵检测系统?简述入侵检测系统的作用? 答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。入侵检测系统的作用主要是通过监控网络、系统的状态,来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。 2. 比较一下入侵检测系统与防火墙的作用。 答:防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道关卡。IDS 是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是网络安全的第二道关卡,是防火墙的必要补充。 3. 简述基于主机的入侵检测系统的优缺点? 答:优点:①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境 ④成本低 缺点:①它在一定程度上依靠系统的可靠性,要求系统本身具有基本的安全功能,才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外,根本不检测网络上的情况 4. 简述基于网络的入侵检测系统的优缺点? 答:优点:①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击 缺点:①网络入侵检测系统只能检查它直接连接的网段的通信,不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法,只可以检测出普通的一些攻击,而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流,处理加密的会话过程比较困难。 5. 为什么要对入侵检测系统进行测试和评估? 答:①有助于更好地描述IDS的特征。②通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估,确定IDS 的性能级别及其对运行环境的影响。③利用测试和评估结果,可做出一些预测,推断IDS 发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果,对IDS进行改善。

入侵检测

第一章入侵检测概述 1、网络安全的实质? 2、为了提高网络安全性,需要从哪些层次和环境入手? 3、为什么说无法确保系统的安全性达到某一确定的级别? 4、为什么说入侵检测是一种动态的监控、预防或抵制系统入侵行为的安全机制? 5、入侵检测主要通过监控哪些方面来检测内部或外部的入侵企图? 6、与传统的预防型安全机制相比,入侵检测具有哪些优点? 7、为什么说入侵检测是对传统计算机安全机制的一种补充? 8、入侵检测机制能弥补防火墙的哪些不足? 9、入侵检测机制能弥补访问控制的哪些不足? 10、入侵检测机制能弥补漏洞扫描工具的哪些不足? 11、P2TR安全模型体现了什么样的思想? 12、在P2TR模型中检测所起的作用是什么? 13、攻击时间Pt 的含义? 14、检测时间Dt的含义? 15、响应时间Rt的含义? 16、系统暴露时间Et的含义? 17、用基于时间的特性描述什么情况下系统是安全的? 18、依据P2DR模型,安全目标是什么? 19、目前,实施检测功能最有效的技术是哪种技术?

20、入侵检测的早期研究主要包括哪些方面的内容? 21、1986年的哪篇文章被认为是入侵检测的开山之作? 22、1990年出现的网络安全监视器(NSM)的重要贡献是什么? 23、入侵检测的商业产品最早出现在哪一年? 24、DIDS最早期的目标是什么? 25、DIDS能够有效解决什么问题? 26、入侵的含义是什么? 27、入侵检测的含义是什么? 28、入侵检测系统的含义是什么? 29、IDS的作用和功能主要有哪些? 30、IDS的主要缺点是什么? 31、IDS作为一项安全技术,其主要目的有哪几个? 第二章入侵方法与手段 1、网络入侵的一般流程是什么? 2、常见的信息收集方式有哪些? 3、通过whois服务器可以查到哪些信息? 4、用nslookup可以获得攻击目标的哪些信息? 5、目前最常见的网络攻击有哪几类? 6、网络入侵发生的内因是什么? 7、网络入侵发生的主要外因是什么? 8、常见的安全威胁包括哪些类型?

入侵检测系统

入侵检测系统.txt你不能让所有人满意,因为不是所有的人都是人成功人士是—在牛B的路上,一路勃起你以为我会眼睁睁看着你去送死吗?我会闭上眼睛的侵检测系统在linux下的完美运用方案 入侵检测系统简介 当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。 本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。 入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection sys tem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。 具体说来,入侵检测系统的主要功能有: a.监测并分析用户和系统的活动; b.核查系统配置和漏洞; c.评估系统关键资源和数据文件的完整性; d.识别已知的攻击行为; e.统计分析异常行为; f.操作系统日志管理,并识别违反安全策略的用户活动。 由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。ISS、axent、NFR、cisco等公司都推出了自己相应的产品(国内目前还没有成熟的产品出现)。但就目前而言,入侵检测系统还缺乏相应的标准。目前,试图对IDS进行标准化的工作有两个组织:IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF),但进展非常缓慢,尚没有被广泛接收的标准出台。 入侵检测系统模型 CIDF模型 Common Intrusion Detection Framework (CIDF)(https://www.wendangku.net/doc/2610881134.html,/)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:l事件产生器(Event generators)

网络入侵检测原理与技术

网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型

3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用

网络安全需求分析精编版

网络安全需求分析 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-

网络安全需求分析 一.需求分析 1.网络现状 1.学校网络拓扑图 5栋宿舍4栋教工宿舍12栋宿舍 6栋宿舍 2.功能 应用需求

3.现有的安全措施 由于没有配置专业安全产品,目前网络的安全措施主要有:操作系统和应用软件自身的身份认证功能,实现访问限制。 可见,以上措施已难以满足现代网络安全需求。 2.网络安全目标与内容 1.网络安全目标

2.网络安全内容 1、物理安全 环境安全:场地、机房的温度、湿度、照明、供电系统、防盗系统、防静电、防辐射 设备安全:防盗、防毁、防辐射 媒体安全:信息消除技术、介质的消毁技术 容灾:计算机系统分布在不同的地理位置,当灾难发生时,不会使整个系统失效。 2、运行安全 风险分析、审计跟踪、备份与恢复、应急响应、集群

3、信息安全 操作系统安全、数据库安全、设备安全、病毒防护、访问控制、加密、认证、抗抵赖、防火墙技术、入侵检测技术 4、文化安全 文化安全是指利用网络传播非法、不良的信息(如:淫秽暴力信息泛滥、敌对的意识形态信息)对民族文化的冲击,防范措施有设置因特网关,监测、控管. 近些年来,由于政治、经济利益的驱动,利用网络传播不良、淫秽信息越来越多,这严重影响我国的精神文明建设,要通过立法、监测来保护网络文化的文明。 3.网络安全需求 3.1风险分析 物理安全风险分析 网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。 网络平台的安全风险分析 (1)公开服务器面临的威胁

网络安全需求分析

网络安全需求分析 一.需求分析 1.网络现状 1.学校网络拓扑图 服务器 3栋行政楼 中心交换机 8栋宿舍 9栋宿舍 10栋宿舍 13栋宿舍 11栋艺人系教学楼 7栋教学楼 20栋图书馆 1栋 机房 5栋宿舍17栋宿舍 4栋教工宿舍16栋教学楼 14栋宿舍 15栋宿舍 12栋宿舍 6栋宿舍2栋 机房 防火墙 internet 路由器 2.功能应用需求 应用名称 类型 说明 Email 电子邮件 校园网内邮件收发服务 Office 办公组件 办公室工作 杀毒软件 杀毒 维护计算机安全 数据库 信息储存,检索。 FTP 文件传输 WWW 网上冲浪 3.现有的安全措施 由于没有配置专业安全产品,目前网络的安全措施主要有: 操作系统和应用软件自身的身份认证功能,实现访问限制。

可见,以上措施已难以满足现代网络安全需求。 2.网络安全目标与内容 1.网络安全目标 保密性信息系统防止信息泄露 完整性信息未经授权不能改变的特性 有用性信息资源容许授权用户按需访问 的特性 可靠性数据不被破坏正常供用户使用的 可能性 2.网络安全内容 1、物理安全 环境安全:场地、机房的温度、湿度、照明、供电系统、防盗系统、防静电、防辐射 设备安全:防盗、防毁、防辐射 媒体安全:信息消除技术、介质的消毁技术 容灾:计算机系统分布在不同的地理位置,当灾难发生时,不会使整个系统失效。 2、运行安全 风险分析、审计跟踪、备份与恢复、应急响应、集群 3、信息安全 操作系统安全、数据库安全、设备安全、病毒防护、访问控制、加密、认证、抗抵赖、防火墙技术、入侵检测技术 4、文化安全

文化安全是指利用网络传播非法、不良的信息(如:淫秽暴力信息泛滥、敌对的意识形态信息)对民族文化的冲击,防范措施有设置因特网关,监测、控管. 近些年来,由于政治、经济利益的驱动,利用网络传播不良、淫秽信息越来越多,这严重影响我国的精神文明建设,要通过立法、监测来保护网络文化的文明。 3.网络安全需求 3.1风险分析 ●物理安全风险分析 网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。 ●网络平台的安全风险分析 (1)公开服务器面临的威胁 这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;(2)整个网络结构和路由状况 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。 ●系统的安全风险分析 网络操作系统、网络硬件平台的可靠性:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。 ●应用的安全风险分析

入侵检测技术

重要章节:3、4、5、6、7、9 第一章 入侵检测概述 1.入侵检测的概念:通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 2.传统安全技术的局限性:(1)防火墙无法阻止内部人员所做的攻击(2)防火墙对信息流的控制缺乏灵活性(3)在攻击发生后,利用防火墙保存的信息难以调查和取证。 3.入侵检测系统的基本原理主要分为4个阶段:数据收集、数据处理、数据分析和响应处理。 4.入侵检测的分类:(1)按照入侵检测系统所采用的技术:误用入侵检测、异常入侵检测和协议分析(2)按照数据来源可以分为:基于主机的IDS 、基于网络的IDS 、混合式IDS 、文件完整性检查式IDS 第二章 常见的入侵方法与手段 1.漏洞的具体表现:(1)存储介质的不安全(2)数据的可访问性(3)信息的聚生性(4)保密的困难性(5)介质的剩磁效应(6)电磁的泄露性(7)通信网络的脆弱性(8)软件的漏洞 2.攻击的概念和分类:根据攻击者是否直接改变网络的服务,攻击可以分为被动攻击和主动攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。 3.攻击的一般流程:(1)隐藏自己(2)踩点或预攻击探测(3)采取攻击行为(4)清除痕迹 第三章 入侵检测系统模型 1.入侵检测系统模型的3个模块:信息收集模块、信息分析魔力和报警与响应模块 入侵检测系统的通用模型 2.入侵检测发展至今,先后出现了基于主机的和基于网络的入侵检测系统,基于模式匹配、异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+安全管理+协议分析+模式匹配+异常统计的系统,它的优点在于入侵检测和多项技术协同工作,建立全局的主动保障体系,误报率、漏报率较低,效率高,可管理性强,并实现了多级的分布式监测管理,基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计相结合,取长补短,可以进行更有效的入侵检测。 3.入侵检测信息的来源一般来自以下的4个方面:(1)系统和网路日志文件(2)目录和文件中不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵 4.在入侵检测系统中,传感器和事件分析器之间的通信分为两层:OWL 层和SSL 层。OWL 层负责使用OWL 语言将传感器收集到的信息转换成统一的OWL 语言字符串。SSL 层使用SSL 协议进行通信。 5.信息分析的技术手段:模式匹配、统计分析和完整性分析。 6.根据入侵检测系统处理数据的方式,可以将入侵检测系统分为分布式入侵检测系统和集中式入侵检测系统。 分布式:在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。 集中式:在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。 7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下: 1.可靠性 集中式:仅需运行较少的组件 分布式:需要运行较多的组件 2.容错性 集中式:容易使系统从崩溃中恢复,但也容易被故障中断 分布式:由于分布特性,数据存储时很难保持一致性和可恢复性 信息收集 信息分析 报警与响应

蓝盾入侵检测系统操作手册

蓝盾入侵检测系统 (BD-NIDS) 操 作 手 册 广东天海威数码技术有限公司 日期:2002-9-15

目录 第一章 系 统 概 述 (4) 一、系统组成 (4) 1、蓝盾入侵检测系统控制中心部分 (4) 2、蓝盾入侵检测系统检测引擎部分 (4) 二、主要功能特点 (4) 1、固化、稳定、高效的检测引擎 (4) 2、完备的功能 (5) 3、灵活的策略设置 (5) 4、实时的检测分析、响应 (5) 5、不断更新的入侵模式 (6) 6、运行中的实时系统升级 (6) 7、多网络检测、集中管理 (6) 8、强大的信息记录、查询能力 (6) 9、简单易用 (6) 10、更低的漏报、错报率 (6) 第二章 蓝盾入侵检测系统的安装 (8) 一、控制中心安装 (8) 二、引擎安装 (8) 第三章 蓝盾入侵检测系统控制中心 (10) 一、文件菜单 (14) 1、注销登陆(Q) (14) 2、退出(X) (14) 二、管理菜单 (14) 1、检测引擎管理(S) (14) 1.1、文件(F) (15) 1.1.1、添加引擎(A) (15) 1.1.2、删除引擎(D) (16) 1.1.3、引擎属性(P) (16) 1.1.4、连接引擎(C) (16) 1.1.5、断开引擎(U) (17) 1.1.6、清除信息框(E) (17) 1.1.7、退出管理(X) (17) 1.2、配置参数(P) (18) 1.2.1、下载配置文件(D) (18) 1.2.2、修改配置(M) (18) 1.2.3、上传配置文件(U) (20) 1.2.4、下载用户记录规则库(G) (20) 1.2.5、修改用户记录规则库(L) (20)

相关文档
相关文档 最新文档