一种高性能入侵检测平台研究.docVIP

一种高性能入侵检测平台的研究 　　 (1.上海海事大学，上海 200135；2.上海三零卫士信息安全有限公司，上海 201204) 　　?? 　　摘要：为了解决日益重要的主机入侵检测的需要，针对多种操作系统平台(Windows、HP UNIX、IBM AIX、SUN)开发出不同于传统的网络入侵检测系统，该系统与网络入侵检测以及审计和智能响应相组合，采用控制中心―事件汇集器―主机探头三层体系构成高性能的入侵检测平台摘要内容。?? 　　关键词：信息安全；入侵检测；主动防御;操作系统?? 　　中图分类号：TP393??08文献标志码：A 　　文章编号：1001-?B3695(2008)11-?B3455-?B02 　　?? 　　Research of high performance intrusion detection platform 　　?? 　　WEI Zhong??1,CHEN Chang-song??2 　　??(1.Shanghai Maritime University， Shanghai 200135, China;2.Shanghai 30Wish Information Security Company， Shanghai 201204, China) 　　??Abstract:In order to solve the need ofhost-basedintrusion detection, developed in view of many kinds of operating system platform (Windows, HP UNIX, IBM AIX, SUN )which was different with the traditional network intrusion detection platform system, this system using the control center-event to collect-the host-poke head in three systemsbuild uphigh performance intrusion detection platform gathers the network intrusion detection as well as the audit system and the intelligent response system. ?? 　　Key words:information security; intrusion detection; active defence; operation system?お? 　　入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。随着网络的广泛应用，入侵检测技术也在各行各业得到了广泛推广。但随着各类用户对信息安全要求的提高，网络安全的含义越来越广，已不仅指整个网络，而更具体到一台台重要的主机、关键服务器（如文件服务器、邮件服务器）等。主机入侵检测系统从网络安全的立体纵深、多层次防御的角度出发为给多种网络应用提供安全、可靠的服务。?? 　　 　　主机入侵检测系统是针对具体主机和服务器的保护，与被保护的系统密切相关，不同操作系统的服务器要求不同的主机入侵检测系统。目前，国内厂商基本都只提供了针对Windows服务器的入侵检测保护，个别厂商提供了针对SUN-Solaris的保护，而对于HP-UX和IBM-AIX的保护完全是一个空白，而HP、IBM和SUN这三类服务器占有了90%的高端服务器市场。虽然国外部分安全厂商提供了适用性较广的主机入侵检测系统，能保护包括HP、IBM和SUN在内的主机系统，但是信息安全是涉及国家政治、经济、军事安全利益的重中之重。从美国对伊战争中使用的信息战（包括采取高科技手段对对方的通信设施进行信息掌控，以及袭击对方的电脑网络系统）可以看出，单纯依赖国外产品构筑安全防护体系会对本国的信息安全和国家安全带来极大的隐患。本项目针对上述市场需要的主机入侵检测系统技术进行研究。在 “应急响应和事件恢复技术”的成果：入侵检测技术、综合日志审计技术、数据和文件完整性检测技术和系统事件智能响应控制中心技术的基础上进行技术改进，开发主机入侵检测产品。?? 　　1高性能入侵检测工具的设计?? 　　1??1设计原理和步骤?? 　　项目利用已有成果入侵检测技术、综合日志审计技术、数据、文件完整性检测技术和系统事件智能响应控制中心技术以及鹰眼主机入侵检测系统v1.0，将现已支持HP-UX和IBM-AIX环