20060710_天阗入侵检测和管理系统白皮书V2.00.doc

产品白皮书 天阗入侵检测与管理系统（V6.0） （Intrusion Management System） 版本标识：V 单 位：北京启明星辰信息技术有限公司 版 权 声 明北京启明星辰信息技术有限公司本中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意本北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 信息反馈 如有任何宝贵意见，请反馈： 信箱：北京市海淀区中关村南大街12号188信箱获得最新技术和产品信息。目 录 第1章 前言 4 1.1 关于天阗 4 1.2 常见入侵技术和手段 5 1.3 入侵检测与网络安全体系 7 1.4 从入侵检测和入侵管理 8 第2章 关键技术 11 2.1 系统结构 11 2.2 高性能报文处理架构 12 2.3 基于状态的协议分析 13 2.4 树型规则和匹配算法 14 2.5 特征提取分析和描述 15 2.6 分级管理与控制技术 16 2.7 面向对象的虚拟引擎 16 第3章 功能特性 17 3.1 高强度的自身安全性 17 3.2 完善的管理控制体系 18 3.3 全面的入侵检测能力 19 3.4 自适应检测策略管理 21 3.5 可扩展的响应和联动 21 3.6 多样化日志分析报告 22 3.7 人性化界面功能操作 22 3.8 线速级的高性能处理 23 3.9 稳定的成熟产品应用 25 第4章 入侵管理架构 27 4.1 网络入侵检测系统 27 4.2 入侵事件定位系统 29 4.3 入侵风险评估系统 31 4.4 异常流量监测系统 35 4.5 主机入侵检测系统 40 第5章 服务支持 42 前言 关于天阗 天阗入侵检测与管理系统是启明星辰信息技术有限公司自行研制开发的入侵检测类网络安全产品。 天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的基础上，引入全面流量监测发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有对应的关联关系，给出入侵威胁和资产脆弱性之间的关联风险分析结果，从而有效地管理安全事件并进行及时处理和响应。 启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况，把握黑客技术的动态发展，深化对黑客行为的本质分析，预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段，启明星辰专门建立了积极防御实验室(V-AD-LAB)，通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑，如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。 启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可，成为国家计算机网络应急技术处理协调中心启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给CVE（Common?Vulnerabilities?and?Exposures）目前已有多个漏洞的命名被CVE组织采用获得了该组织机构唯一的标识号。?启明星辰公司天阗入侵检测与管理系统天镜脆弱性扫描与管理系统通过了CVE严格的标准评审，获得最高级别的CVE兼容性认证（CVE?Compatible），从而成为国中唯一获得CVE认证的，标志着启明星辰公司无论在入侵检测，还是在漏洞扫描的技术实力方面均已与国际接轨，并且其研发成果已得到了国际权威组织的充分认可。 图1-1 入侵技术和手段的关系图 入侵过程一般可以概括为五个步骤或阶段，我们可以就入侵过程的五个阶段来分析其应用的技术和手段。需要注意的是，作为具体的攻击，不一定完全按此五个阶段进行。 信息探测 信息探测一般是入侵过程的开始，攻击者开始对网络内部或外部进行有意或无意的可攻击目标的搜寻，主要应用的技术包括：目标路由信息探测、目标主机操作系统探测、端口探测、帐户信息搜查、应用服务和应用软件信息探测以及目标系统已采取的防御措施查找等等。目前，攻击者采用的手段主要是扫描工具，如操作系统指纹鉴定工具、端口扫描工具等等。 攻击尝试 攻击者在进行信息探测后，获取了其需要的相关信息，也就确定了在其知识范畴内比较容易实现的攻击目标尝试对象，然后开始对目标主机的技术或管理漏洞进行深入分析和验证，这就意味着攻击尝试的进行。目前，攻击者常用的手段主要是漏洞校验和口令猜解，如：专用的CGI漏洞扫描工具、登录口令破解等等。 权限提升 攻击者在进行攻击尝试以后，如果成功也就意味着攻击者从原先没有权限的系统获取了一个访问权限，但这个权限可能是受限制的，于是攻击者就会采取各种措施，使得当前的权限得到提升，