主机入侵检测系统的相关技术.DOCVIP

天阗入侵检测与管理系统 系列化产品 主机入侵检测系统白皮书 （Host Intrusion Detection System） （适用型号：HS120/HS220/HS320/HS420/HS520） 启明星辰信息技术有限公司 目录 第一章 关于主机入侵检测系统 3 主机入侵检测系统是什么？ 3 主机入侵检测系统能够做什么？ 3 第二章 主机入侵检测系统的相关技术 4 基于攻击机理的检测技术 4 第三章 产品框架 5 第四章 产品特点 6 深入的检测方式 6 分布式集中管理 6 细致的策略配置 6 丰富的日志报告 7 第五章 产品简介 7 产品型号 7 功能介绍 8 监测功能 8 告警功能 9 报告功能 10 第一章 关于主机入侵检测系统 主机入侵检测系统是什么？ 1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告加州大学戴维斯分校的L. T. Heberlein…… 第二章 主机入侵检测系统的相关技术 基于攻击机理的检测技术 传统的主机入侵检测系统采用的检测方法和网络入侵检测系统类似，采用误用检测和异常检测等通用检测手段。通过匹配特征库或者是建立异常检测模型来判断事件是否发生。由于主机入侵检测系统运行在操作系统之上，会占用一定的系统资源，过多的资源消耗，将会影响到正常业务的运行。 针对这种情况，启明星辰独创性的开发出了基于攻击原理的检测技术，通过与公司内积极防御实验室合作，对真实的黑客攻击案例和方法进行机理分析和研究，归纳出了以下攻击路径： 第一步：攻击者需要获得系统的访问权限，比如说获得一个系统的shell 第二步：在获得一个初级权限后，攻击者需要提升自己的权限。 第三步：提升权限后，攻击者将会访问或者是修改一些重要的配置文件，以方便进一步的控制。如查看/修改passwd，shadow等。 第四步：擦除脚印，清理日志文件，安装后门等。 针对这套流程，在这些必经路径上的行为进行检测，就可以对攻击行为进行报警，而不需要使用大量的特征事件进行匹配。同时，降低了主机入侵检测系统对系统资源的消耗： 针对远程获取权限的攻击检测 针对权限提升的检测 对于攻击者访问系统关键文件的检测 对于后门的检测 第三章 产品框架 天阗主机入侵检测系统采用的是C/S架构，其部署结构如下图所示： 和网络入侵检测系统一样，也可以采用分布式部署方式。 系统软件功能架构如下： 第四章 产品特点 深入的检测方式 天阗主机入侵检测系统通过在操作系统中嵌入独立的检测层，保证了检测的有效性和自身的安全性；全面检测系统日志、应用服务和网络通讯，保证了检测的全面性；同时，安装和卸载都采用绿色软件形式，无须重新启动，保证了重要主机的不间断运行。 针对windows平台，启明星辰公司的是微软公司在中国网络安全领域少数战略合作伙伴之一，并是入侵检测系统方面唯一的合作伙伴，同时还是主机入侵检测提供商中唯一可以查看微软源代码的厂商。 2003年初，启明星辰成为IBM小深蓝AIX俱乐部成员，获得了IBM的专项支持，并推出了基于IBM AIX 5L平台的主机入侵检测系统。 分布式集中管理 天阗主机入侵检测系统支持与网络入侵检测系统的同台管理，使用同一个管理、监测界面。同时，支持分布式部署方式，驻留在各对应主机平台上的主机探测器引擎可以在统一的界面上进行配置，策略制定和下发，报警信息的显示和日志维护，报告生成等。 细致的策略配置 天阗主机入侵检测系统的检测内容包含了主机应用的各个部分，并内置五种默认检测策略： 正常用户行为事件 异常用户行为事件 正常管理行为事件 异常管理行为事件 安全事件 另外，针对Windows平台，系统还定义了以下三种检测策略： 网络事件_TCP 网络事件_UDP 病毒文件操作事件 针对UNIX平台，系统还定义了以下两种策略： 可疑连接事件 系统日志事件 策略集可以在衍生的基础上由用户自行调整。 丰富的日志报告 天阗主机入侵检测系统在引擎端分析了针对系统和服务的攻击后，产生事件，实时向控制中心发送报警信息，并同时存放在控制中心的日志数据库中。 利用报表工具，可以对数据库中的数据进行查询和报告的生成。天阗主机入侵检测系统提供了不同种类的报表模版供用户使用。 第五章 产品简介 产品型号 依据适用平台的不同，天阗主机入侵检测系统可以分为以下几个型号： 序号 引擎型号 主机平台 具体操作系统 1 HS120 WIN 32位操作系统：Windows NT（SP5/SP6）Win2K(SP1/SP2/SP3/SP4) ,Windows 2003 2 HS220 SUN Solaris