鹰眼网络安全监中心技术白皮书V5.docVIP

版权声明 本文档的相关权力归成都三零盛安信息系统有限公司所有。白皮书中的任何部分未经本公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。? 2008 成都三零盛安信息系统有限公司 All rights reserved. 信息反馈 您的意见和建议请反馈至： 成都三零盛安信息系统有限公司 Chengdu 30san Information System Co., Ltd 四川成都高新区创业路6号 成都市810信箱36分箱，610041 电话(TEL)：8008863030 028 传真（FAX ）：028电子信箱：cdinfo@30 免责条款 根据法律的许可，本文档不承担任何形式的担保，在任何情况下，都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责。本文档由制作出版前言 1 产品概况 1 主要功能 2 网络入侵检测 2 网络行为审计 3 网络流量监控 4 全网预警 5 警报联动 5 技术优势 6 高性能核心抓包机制 6 灵活的自定义规则 6 二次事件的准确挖掘 7 警报关联显示模式 8 全面丰富的警报分析报表 8 独特的检测参数设置模式 9 攻击数据内容恢复 9 数据合并能力 9 方便实用的警报忽略功能 9 独具特色的镜像控制台功能 10 大规模分布式部署与管理能力 10 完备的自身安全性 10 部署方式 11 技术指标 12 前言 信息化社会中，随着网络应用的深入，网络攻击手段也层出不穷，网络所面临的安全威胁日益严重。由于关系到个人隐私、商业机密甚至于国家利益，网络安全问题受到了空前的关注。 在此背景下，众多门类的网络安全产品如雨后春笋般纷涌出现。其中，入侵行为检测、网络协议审计、数据库审计、流量分析等各类产品从不同侧重点对网络安全加以保障，业已成为政府与企事业单位在构建网络系统时必须考虑的重要手段。但过多的安全产品部署往往又会使网络结构更复杂、管理更混乱，因此，功能多样、管理方便的一体化安全产品已经成为趋势。 产品概况 鹰眼网络安全监控中心（简称“鹰眼监控中心”）将入侵检测、网络应用协议审计、数据库审计、流量分析等多种安全产品的功能集于一身，各项功能相互协作，并通过统一方式进行管理，为用户网络提供全面综合的安全保障。 鹰眼监控中心以操作系统的网络数据零拷贝采集技术为基础，以自主设计的检测引擎为核心，对网络数据进行入侵行为特征分析、用户网络行为审计、流量分析和异常流量检测，实时捕获各种攻击行为和异常事件。鹰眼监控中心能以多种方式进行报警，其具备强大的联动协作能力和对重大安全事件的全网预警能力，在用户网络中形成全方位的防御体系。 鹰眼监控中心分为管理中心和检测引擎两部分，其中管理中心以软件形式安装在用户指定服务器上，检测引擎以硬件形式旁路接入用户网络。产品以C/S架构为基础，提供单层简单部署模式或多层分布式部署模式，能够完成大规模信息网络中的多点检测，同时支持集中式管理和分布式管理方式。多层管理中心之间还可进行权限托管控制和警报信息共享，实现多点灵活监控和全局信息展现。 主要功能 网络入侵检测 鹰眼监控中心提供了强大的入侵检测功能，作为入侵检测功能重要核心的专家知识库目前包含了共24个大类的2000余种攻击特征，并在不断地增加更新中，专家知识库中包含的类别有： 规则大类 描述 后门程序攻击 检测攻击者试图通过目标系统中的安装的后门程序，控制目标系统，损害系统安全的行为。 缓冲区溢出攻击 检测攻击者通过目标系统的各种应用服务的软件实现中存在的缓冲区溢出漏洞，控制目标系统的攻击行为。 扫描器攻击 检测攻击者使用各种扫描器软件，搜索攻击目标并收集目标系统中的系统信息及安全漏洞的行为。 密码破解攻击 检测攻击者使用密码破解工具，猜测目标系统的用户口令，以获取口令的方式进入系统的攻击行为。 拒绝服务攻击 检测攻击者通过抢占目标系统资源阻止合法用户使用系统服务，或使系统崩溃的行为，与分布式拒绝服务攻击相比较规模较小。 分布式拒绝服务攻击 检测攻击者通过网络中的多台被控主机，同时对目标系统发起攻击，抢占目标系统资源，阻止合法用户使用系统服务或使系统崩溃的行为。 FINGER服务攻击 检测攻击者针对UNIX系统或LINUX系统中开放的finger服务，获得目标主机中的帐户信息，登录时间，登录次数等相关信息的行为。 FTP服务攻击 检测攻击者通过目标系统中的ftp服务的安全漏洞实施的各种攻击行为，如用户口令猜测，使用空用户或超级用户登录，读取或修改一些特殊系统文件的行为。 TELNET服务攻击 检测攻击者通过目标系统中的telnet服务的安全漏洞实施的各种攻击行为，如用户口令猜测，修改系统环境变量，缓冲区溢出攻击等行为。