网络信息安全技术周明全第5章网络入侵检测原理与技术.ppt

Cyber cop Server的目标是在复杂的网络环境中提供防范、 检测和对攻击作出反应，并能采取自动抗击措施的工具。  Cyber cop Network的主要功能是在复杂的网络环境中通过循环监测网络流量（Traffic）的手段来保护网络上的共享资源。 Cyber cop能够生成多种形式的报告， 包括HTLM、ASCII正文、 RTF格式以及Comma Delimited格式。 * （2） ISS公司（Internet Security System）的Real Secure 2.0 for Windows NT 是一种领导市场的攻击检测方案。Real Secure2.0提供了分布式安全体系结构，多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以采用128 bitTSA进行认证和加密。 * （3） Abirnet公司的Session-Wall-32.1是一种功能比较广泛的安全产品，其中包括攻击检测系统功能。Session-Wall-32.1提供定义监控、过滤、及封锁网络通令量的规则的功能，因此其解决方案比较简洁、灵活。Session-Wall-32.1接到攻击后即向本地控制台发送警报、电子函件、 进行事件记录。 另外，具备向安全管理人员发出信息的功能， 其报表功能也比较强。 * （4） Anzen公司的NFR（Netware Flight Recorder）提供了一个网络监控框架，利用这个框架可以有效地执行攻击检测任务。 OEM公司可以基于NFR定制具备比较专门用途的攻击检测系统， 有些软件公司已经开发出了各自的产品。  （5）IBM公司的IERS系统（Internet Emergency Response Service）是由两个部件组成：NetRanger检测器和Boulder监控中心。NetRanger检测器负责监听网络上的可识别的通信数字签名， 一旦发现异常情况， 就启动Boulder监控中心的报警器。 * （6） 中科网威信息技术有限公司的“天眼”入侵检测系统、 “火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况， 由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果研制成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时发现并及时提出解决方案，它可列出供参考的全热链接网络和系统中易被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”（1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论）。 * （7） 启明星辰公司的黑客入侵检测与预警系统，集成了网络监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。该系统主要包括两部分:探测器和控制器。探测器能监视网络上流过的所有数据包，并根据用户定义的条件进行检测， 识别出网络中正在进行的攻击。它实时检测到入侵信息并向控制器管理控制台发出告警，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的ＴＣＰ/ＩＰ网络，强大的检测功能为用户提供了最为全面、有效的入侵检测能力。 * 控制器是一个高性能管理系统，它能监控位于本地或远程网段的多个探测器的活动。它集中地配置策略，提供统一的数据管理和实时报警管理。它能显示详细的入侵告警信息（如入侵ＩＰ地址及目的ＩＰ地址、目的端口、攻击特征），对事件的响应提供在线帮助，以最快的方式阻止入侵事件的发生。另外，它还能全面记录和管理日志，以便进行离线分析，对特殊事件提供智能判断和回放功能。 * 5.7 入侵检测技术发展方向 1. 入侵技术的发展与演化 （1） 入侵或攻击的综合化与复杂化 由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率， 并在攻击实施的初期掩盖攻击或入侵的真实目的。 * （2） 入侵主体对象的间接化 通过一定的技术，可掩盖攻击主体的源地址及主机位置，即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。 * （3）入侵或攻击的规模扩大 对于网络的入侵与攻击，在初期往往是针对于某个公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为， 也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，因此， 对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击可相提并论。