（系统分析与集成专业论文）基于snort的分布式网络入侵协同检测系统的研究及实现.pdf

摘要 摘要 本文首先对当前的网络安全现状做了介绍，从而提出本课题研究的背景与意义。接着 本文回顾了入侵检测技术的发展史，对目前的入侵检测技术进行了分析。通过分析主要的 商用入侵检测产品，预测了入侵检测技术的发展趋势，进而提出本文的研究工作。 通过分析国内外研究中已有的用于入侵检测的常用模式匹配算法，本文选择基于b m ( b o y e r - m o o m ) 算法的改进的o b m ( o p t i m i z e db o y e r - m o o r e ) 算法与匹配规则策略优化 相结合的方式，构建入侵检测系统并进行研究。0 b m 算法能够同时与多个模式串进行匹配， 大量减少在b o y e r - m o o r e 算法中所进行的非必要的比较。同时引入横向淘汰方法，如果一 个规则中的一个条件为假，那么就不匹配此规则中的其他条件，从而能有效地减少数据包 的匹配时间。i d s 所监视的网络数据包在一段时间内会具有一定共性，在系统检测出一个 或多个攻击数据包后，本文对与之匹配的规则采用动态调整法进行适当的调整，使后继的 同类数据包能够尽快与规则相匹配，将能有效提高系统整体运行效率。 在此基础之上，构建基于s n o r t 的分布式网络入侵协同检测模型，从数据采集协同、 数据分析协同、系统响应协同三个方面实现。本文的研究主要是实现该系统的内部网络数 据分析协同。实验中在同一台计算机上用b m 算法和o b m 算法分别进行三组不同次数循 环匹配，分别统计各算法总消耗时间与匹配次数。b m 算法检测时间与匹配次数随着检测 次数的增多线性增长明显，而o b m 算法并没有如此，因此，无论在匹配次数还是运行时 间上，o b m 算法都要明显优于b m 算法。在对规则顺序动态调整后，检测时间比原程序的 检测时间明显减少，表明规则顺序的调整提高了系统的整体运行效率。最后使用林肯实验 室数据包，将i d s 中规则顺序的动态调整与o b m 算法相结合，进行协同分析网络连接数 据记录，实验结果表明，这种协同检测方法的检测率较高，实时性好，能较好的发现新的 攻击类型。 关键词：入侵检测系统，分布式，协同，o b m a b s t r a c t a b s t r ac t i nt h i sp a p e r , f i r s to fa l lo nt h ec u r r e n ts t a t u so fn e t w o r ks e c u r i t yt od ot h ei n t r o d u c f i o n ，t h e n p u t sf o r w a r dt h i sr e s e a r c hb a c k g r o u n da n ds i g n i f i c a n c e t h e nt h i sp a p e rr e v i e w st h eh i s t o r yo f t h ed e v e l o p m e n to fi n t r u s i o nd e t e c t i o nt e c h n o l o g y , t h ec u r r e n ti n t r u s i o nd e t e c t i o nt e c h n o l o g yi s a n a l y z e d t h r o u g ht h ea n a l y s i so ft h em a j o rc o m m e r c i a li n t r u s i o nd e t e c t i o np r o d u c t s ，i n t r u s i o n d e t e c t i o np r e d i c t i o nt e c h n o l o g yd e v e l o p m e n tt r e n d s ，t h e nt h er e s e a r c hw o r kp r o p o s e di n t h i s a r t i c l e s t u d ya th o m ea n da b r o a db ya n a l y z i n gt h ee x i s t i n gc o m m o n l yu s e df o ri n t r u s i o nd e t e c t i o n p a t t e r nm a t c h i n ga l g o r i t h m , t h ep a p e rs e l e c t e do b m ( o p t i m i z e db o y e r - m o o r e ) a l g o r i t h mb a s e d o nt h eb m ( b o y e r - m o o r e ) a l g o r i t h mc o m b i n i n gw i t hm a t c h i n gr u l e so p t i m i z a t i o ns t r a t e g yt o b u i l da n dr e s e a r c hi n t r u s i o nd e t e c t i o ns y s t e m o b ma tt h es a m et i m ew i t han u m b e ro f a l g o r i t h m st om a t c h t h ep a t t e r n ，as i g n i f i c a n tr e d u c t i o ni nt h eb o y e r - m o o r ea l g o r i t h mc a r r i e do u t b yc o m p a r i s o no fn o n - e s s e n t i a l p a r a l l e lm a t c h i n gs t r a t e g yf o rt h ec o n d i t i o n si sc l a s s i f i e di n a c c o r d a n c ew i t ht h er u l e st h e m s e l v e s ，b u ta l s oi na c c o r d a n c ew i t ht h ec l a s s i f i c a t i o n ；o u ta tt h e s a m et i m et h ei n t r o d u c t i o no ft h eh o r i z o n t a lm e t h o d ，i far u l ei nac o n d i t i o nt ob ef a l s e ，t h e nn o t m a t c h i n gt h i sr u l eo fo t h e rc o n d i t i o n s ，s ot h a ti tc a r le f f e c t i v e l yr e d u c et h em a t c h i n gt i m eo f p a c k e t s i d sb ym o n i t o r i n gn e t w o r kp a c k e t so v e rap e d o do ft i m ew i l lh a v eac e r t a i n c o m m o n a l i t y , t h es y s t e md e t e c t so n eo rm o r ep a c k e t sa f t e rt h ea t t a c k , i nt h i sp a p e r , a d j u s t s m a t c h i n gr u l e sb yd y n a m i ca d j u s t m e n tm e t h o d ，s ot h a ts u b s e q u e n td a t ap a c k e t st ot h es a m er u l e s a ss o o na sp o s s i b l et om a t c ht h es y s t e mt oe f f e c t i v e l yi m p r o v eo v e r a l lo p e r a t i n ge f f i c i e n c y o nt h i sb a s i s ，t ob u i l dad i s t r i b u t e dn e t w o r ki n t r u s i o nc o o p e r a t i o nd e t e c t i o nm o d e lb a s e do n s n o r t , u s i n gd a t ac o l l e c t i o nc o o p e r a t i o n , d a t aa n a l y s i sc o o p e r a t i o n a n ds y s t e m r e s p o n s e c o o p e r a t i o n 1 1 1 i sp a p e ri st h er e a l i z a t i o no ft h es y s t e m 。si n t e r n a ln e t w o r kc o l l a b o r a t i v ed a t a a n a l y s i s e x p e r i m e n t so nt h eb ma l g o r i t h ma n dt h eo b ma l g o r i t h mt e s t e da n dc o m p a r e do nt h e s a m ec o m p u t e ra l g o r i t h mb yt h r e ed i f f e r e n tc y c l e st i m e s ，r e s p e c t i v e l y , t h e nt og a t h e rs t a t i s t i c so f m a t c h i n gn u m b e ra n dt h et o t a lt i m e - c o n s u m i n g d e t e c t i o nt i m ea n dm a t c hn u m b e ro fb m a l g o r i t h mw i m t h ei n c r e a s ei nt h en u m b e ro f d e t e c t i n gl i n e a rg r o w t hs i g n i f i c a n t l y , b u tn o ts od o e s o b ma l g o r i t h m b o t hi nt h en u m b e ro fm a t c h i n ga n dr u n n i n gt i m e ，o b ma l g o r i t h ma r eb e n e r t h a nb m a l g o r i t h m a r e ra d j u s t i n gt h eo r d e ro ft h er u l e s ，t h ed e t e c t i o nt i m er e d u c e ds i g n i f i c a n t l y , i n d i c a t i n gt h a tt h ea d j u s t m e n tt h eo r d e ro ft h er u l e si m p r o v e dt h eo v e r a l lo p e r a t i n ge f f i c i e n c y f i n a l l y , t oa n a l y z ed a t ar e c o r d so fn e t w o r ku s i n gt h el i n c o l nl a b o r a t o r y sd a t as e tb yb m a l g o r i t h ma f t e ra d j u s t i n gt h eo r d e ro f t h er u l e s 1 1 1 ee x p e r i m e n tr e s u l ts h o w st h a tt h i sc o o p e r a t i o n m e t h o dh a sh i g hd e t e c t i o nr a t ea n dg o o dr e a lt i m e ，a n dc a l lf i n dt h en e wi n t r u s i o n k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m , d i s t r i b u t e d ，c o o p e r a t i o n , o b m 学位论文独创性声明 本人郑重声明： l 、坚持以搿求实、创新刀的科学精神从事研究工作。 2 、本论文是我个人在导师指导下进行的研究工作和取得的研究 成果。 3 、本论文中除引文外，所有实验、数据和有关材料均是真实的。 4 、本论文中除引文和致谢的内容外，不包含其他人或其它机构 已经发表或撰写过的研究成果。 5 、其他同志对本研究所做的贡献均已在论文中作了声明并表示 了谢意。 作者签名：籼 日 期：圣1 3 。易型 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、使用学位论文的规 定，学校有权保留学位论文并向国家主管部门或其指定机构送交论 文的电子版和纸质版：有权将学位论文用于非赢利目的的少量复制 并允许论文进入学校图书馆被查阅；有权将学位论文的内容编入有 关数据库进行检索；，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 作者签名： 日期： 关于学位论文使用授权的说明 本人完全了解南京信息一i ：程大学有关保留、使用学位论文的规定，即：学校有权保留送 交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用 影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵循此规定) 作者签名： 日期； 导师签名： 私粤士 弛畔 第一章绪论 1 1 课题研究背景与意义 第一章绪论 计算机与互联网技术正飞速地发展，网络应用日益普及且愈加复杂。网络安全问题已 成为互联网和网络应用发展中面临的重要问题。中国国家计算机网络应急技术处理协调中 心公布的“中国互联网网络安全报告( 2 0 0 8 年上半年) ”显示，该中心接收和自主监测的 各种网络安全事件数量与2 0 0 7 年上半年同期相比有较为显著的增加。其中，垃圾邮件事件 和阿页恶意代码事件增长较快，网页恶意代码同比增长近一倍；网页篡改事件和网络仿冒 事件也有大幅增长，同比增长分别是2 3 7 和3 8 。所报告的网络安全事件主要有网络仿 冒、垃圾邮件和网页恶意代码事件等，根据报告的事件类型统计( 如图1 - 1 所示) ，垃圾邮 件事件数量最多，共1 2 1 8 件占接收事件总数的3 7 0 1 同比增长1 6 9 ，网页恶意代码 事件同比增长9 5 ：网络仿冒事件的数量达8 9 0 件，占2 70 4 ，同比增长3 8 ；漏洞事件 为2 4 9 件，占75 7 ；病毒、蠕虫或术马事件达2 2 2 件，占67 5 ；拒绝服务攻击事件为9 件，比去年同期略有下降，占不到l 。总体情况看来，2 0 0 8 年上半年所接收的网络安全 事件总数与去年同期相比大量增加，而垃圾邮件事件、网页恶意代码事件、网络仿冒事件 尤为突出，呈现大幅增长【1 2 0 0 8 年上半年度冈络安全事件类型分布 病毒、蠕虫 网页恶意代一 或木马 码2 13 6 6 7 5 一捅洞 一一一j 盛禽4 雕匿婺蚕爹。删。件 ! 雾仿0 4 8 拒绝壶务 i i i 件蜡4 4 + 5：i i * & 击 _ 懈仿冒月页蹲i r 码 图i - i2 0 0 8 年上半年网络安全事件类型分布 从调查报告公布的数据可以看出，各种网络安全漏洞大量存在和不断地被发现，网络 第一章绪论 攻击行为日趋复杂，各种方法相互融合，网络安全问题变得错综复杂，使网络安全防御更 加困难。 为了尽量保障计算机和网络系统，尤其是关键部门的信息安全，市场上涌现出了各种 安全技术和产品，包括防火墙、安全路由器、身份认证系统、设备等，这些技术和产品对 系统有一定的保护作用，但都属于静态安全技术范畴，不能主动跟踪入侵者，也不能积极 有效地防止来自网络内部的非法行为。为了确保网络的安全，网络系统中拥有的网络安全 性分析系统应该能对系统进行漏洞扫描，同时还要能对网络安全进行实时监控与反攻击。 于是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 应运而生【2 1 。 入侵检测系统是一种通过收集和分析计算机系统或网络中关键点的信息，以检查计算 机或网络中是否存在违反安全策略的行为和被攻击的迹象，并对此做出反应，从而保护网 络和主机安全的系统。入侵检测系统能识别外部对计算机或者网络资源的恶意企图和行为， 以及内部合法用户超越使用权限的非法行为。 近年来，入侵检测的研究和实际应用都有很大发展，各种检测模型、检测方法不断提 出，信息安全产品不断涌现，同时也面临着一些问题，如检测速度、误报、漏报、系统自 身安全等。 s n o r t 从1 9 9 8 年开始作为一种免费软件发布以来，根据网络安全的需要，及时地融入 了各种先进检测技术，如p 分片重组，多模式匹配算法，加强了s n o r t 的检测功能。而且 s n o r t 是开放源代码、免费的轻量级入侵检测工具p 】，它在共享的网络上捕获网络传输数据 包，分析捕获到的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，完 成对入侵的预警或记录。根据g p l ( g n up u b l i cl i c e l l s e ) 协议【4 】，只要遵循g p l ，任何组织 和个人都可以自由使用或者修改。 基于以上原因，对基于s n o r t 的入侵检测系统的研究存在着一定的学术意义和较高的 商业价值。本文采用s n o r t 2 8 版本【5 l ，作为论文的分析、实验的基础。 检测引擎是s n o r t 的关键部分，它的速度决定了s n o r t 的整体性能，在s n o r t 中，检测 引擎采用字符匹配的方法来判断入侵，s n o r t 社区一直在探索着高性能有效的匹配方法，也 提出了一些解决方法，如快速匹配引擎。本文将首先介绍s n o r t 最新的研究进展，研究和 分析影响s n o n 检测效率的关键因素，在此基础上提出和实现了算法优化和匹配策略并行 化，并进行了性能对比测试。该优化后的算法将b o y e r - m o o r e 算法1 6 1 1 7 1 应用于一棵由具有相 同前缀的若干字符串生成的关键字树，能够同时与多个模式串进行匹配，允许多个链表选 项中要求进行模式匹配的负载内容合并成1 棵关键词树，大量减少在b o y e r - m o o m 算法中 所进行的非必要的比较，以达到快速查找的效果。在此基础上对匹配策略优化，s n o r t 的规 则和规则之间是或关系，规则内条件与条件之间是与关系。当某一条件值为假时，就可以 通知其他处理函数不用处理此规则的其它条件了。由于网络数据包在一段时间内会具有一 定共性，所以本文对与之匹配的规则顺序进行了研究，最终本文采用o b m 算法与匹配策 略并行化结合规则顺序动态调整的方法构建入侵检测系统，实验证明能够明显提高检测效 率。 2 第一章绪论 1 2 入侵检测系统的发展及现状 入侵检测技术作为一种主动防御技术，是信息安全技术的重要组成部分与传统安全机 制的重要补充。入侵检测系统主要通过监控网络与系统的状态、行为以及系统的使用情况， 来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的 企图。和传统的预防性安全机制相比，入侵检测方案，具有智能监控、实时探测、动态响 应、易于配置等特点。 入侵检测技术自上世纪8 0 年代早期提出以来，经过近3 0 年的不断发展，从最初的一 种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且 在近1 0 年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一 种重要的安全防护技术。 1 9 8 0 年，a n d e r s o n 在其完成的一份技术报告中提出了改进安全审计系统的建议，以便 用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。 1 9 8 4 至1 9 8 6 年，d e n n i n g 和n e u m a n n 在s k i 公司内设计和实现了著名的i d e s ，该系 统是早期入侵检测系统中最有影响力的一个。i d e s 系统采纳了a n d e r s o n 提出的若干建议。 i d e s 系统包括了统计分析组件和专家系统组件，同时实现了基于统计分析的异常检测技术 和基于规则的滥用检测技术。i d e s 系统的设计思路给后来的很多类似系统提供了启发。 1 9 8 7 年，d o r o t h yd e n n i n g 发表的经典论文“a ni n t r u s i o nd e t e c t i o nm o d a l ”中提出入侵 检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。 同年，在s 融召开了首次入侵检测方面的专题研讨会。 1 9 8 9 到1 9 9 1 年，s t e p h e ns m a h a 设计开发了h a y s t a c k 入侵检测系统，该系统用于美国 空军内部网络的安全检测目的。h a y s t a c k 同时采用了两种不同的统计分析检测技术，来发 现异常的用户活动。早期的原型系统采用批处理的离线处理方式。 1 9 9 0 年，加州大学d a v i s 分校的t 0 d dh e b e r l i e n 发表在i e e e 上的论文“an e t w o r k s e c u r i t ym o n i t o r ”，标志着入侵检测第一次将网络数据包作为实际输入的信息源。n s m 系 统截获t c p i p 分组数据，可用于监控异构网络环境下的异常活动。 1 9 9 1 年，在多个部门的赞助支持下，在n s m 系统和h a y s t a c k 系统的基础上，s t e p h e n s m a h a 主持设计开发了d i d s ( 分布式入侵检测系统) 。 d i d s 是首次将主机入侵检测和网络入侵检测技术进行集成的一次努力，它具备在目标 网络环境下跟踪特定用户异常活动的能力。 1 9 9 2 年，加州大学圣巴巴拉分校的p o r r a s 和i l g u n 提出了状态转移分析的入侵检测技 术，并实现了原型系统u s t a t ，之后发展出n s t a t 、n e t s t a t 等系统。 差不多同一时期，k a t h l e e nj a c k s o n 在l o s a l a m o s 国家实验室设计开发了n a d i r 入侵 检测系统，该系统用于监控l o s a l a m o s 的内部计算网络环境，采用了以每周计算活动档案 的统计技术来描述用户的活动情况，并使用专家系统规则来检测异常的用户行为。 而s a i c 和h a y s t a c kl a b s 分别开发出了c m d s 系统和s t a l k e r 系统，这两个系统是首 3 第一章绪论 批投入商用的主机入侵检测系统。 1 9 9 4 年，p o r r a s 在s k i 开发出i d e s 系统的后继版本n i d e s 系统，后者在系统整体结 构设计和统计分析算法上有了较大改进。进一步，s k i 开发了用于分布式环境的e m e r a l d 系统，该系统设计在大型分布式网络环境下工作，具备在不同功能层次上进行检测分析的 能力，体现了不同检测部件之间的协作性能。e m e r a l d 采纳了i d e s 和n i d e s 的检测技 术，具备统计分析和规则分析的能力。 1 9 9 5 年，普渡大学的s k u m a r 在s t a t 的思路基础上，提出了基于有色p e t r i 网的模式 匹配计算模型，并实现了i d i o t 原型系统。 1 9 9 6 年，新墨西哥大学的f o r r e s t 提出了基于计算机免疫学的入侵检测技术。 1 9 9 7 年，c i s e o 公司开始将入侵检测技术嵌入到路由器，同时，i s s 公司发布了基于 w i n d o w s 平台的r e a l s e c u r e 入侵检测系统，自此拉开商用网络入侵检测系统的发展序幕。 1 9 9 8 年，m i t 的r i c h a r dl i p p m a r m 等人为d a r p a 进行了一次入侵检测系统的离线评 估活动，该评估活动使用的是人工合成的模拟数据，最后的测试结果对于后来的入侵检测 系统开发和评估工作都产生了较大影响。 1 9 9 9 年，l o sa l a m o s 的v p a x s o n 开发了b r o 系统，用于高速网络环境下的入侵检测。 b r o 系统在设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。 2 0 0 0 年2 月，c a ( c o m p u t e r a s s o c i a t e si n t e r n a t i o n a l ) 公司发布了抵御黑客攻击的新工 具s e s s i o n w a l l 3 ，后更名为e t r n s ti n t r u s i o nd e t e c t i o n 。e t r u s t 可以自动识别网络使用模式和 具体细节，做到全面地监控网络数据，可对w e b 和公司内部网络访问策略实施监视和强制 实施。e t r u s t 是新一代网络保护产品的代表。 2 0 0 1 年1 月，c l i c k n e t 公司改名为e n t e r c e p ts e c u r i t yt e c h n o l o g y 公司。该公司的i d s 产品e n t e r e e p t 的新版本检测水平进一步提高，并首先提出入侵防御( i p ，i n t r u s i o n p r e v e n t i o n ) 概念。由于已有的入侵检测系统是被动的进行系统安全防护，当发现攻击而不 能及时做出防护反应时，攻击的成功率会随着时间的增加而提高。入侵防御系统在系统请 求被执行之前，即在网络系统受到攻击之前，将请求与防御数据库中的预定义内容进行比 较，然后根据相应的安全级别采取不同的行动，如执行请求、忽略请求、终止请求或记入 日志等。 2 0 0 1 年5 月，d i p a n k a rd a s g u p t a 和f a b i og o n z a l e z 研究了入侵检测的智能决策支撑系 统。 2 0 0 2 年3 月，i s s 公司发布集成了n e t w o r ki c e 公司b l a c k l c e 技术的网络安全产品 r e a l s e c u r en e t w o r ks e n s o r7 0 ，具备更详细的协议分析功能和更出色的碎片重组能力。如 果配合i s s 公司同时发布的r e a l s e c u r eg u a r d 来实现与防火墙的联动，则可以利用协议分 析技术来实时分析是否存在对网络的非法入侵。当检测到非法入侵时，做到彻底切断这种 网络攻击。i s s 公司发布的技术报告称，利用其分组处理驱动程序，可以在不降低网络通 信速度的情况下，正确地实现对网络的高速监控。 2 0 0 2 年6 月，e n t e r e e p t 公司开始提供更先进的入侵防御软件，能够在黑客的攻击造成 4 第一章绪论 伤害之前采取行动来阻止其发生，增加了名为v a u l tm o d e 的先进封锁功能，能够锁住重要 的操作系统文件和设置，防止主机被攻击。 2 0 0 3 年以来，全球众多安全研究机构都在开展入侵检测的研究，许多新的入侵检测技 术被应用到i d s 产品中。例如，对入侵防御系统i p s 的讨论；对于入侵检测中的误报问题， c h e u n g 、s t e v e n 等人提出入侵容忍( i n t r u s i o nt o l e r a n c e ) 的概念，在i d s 中引入了容错技 术：m o r t o ns w i m m e r 针对现代数据网络的分布式防御提出一个危险模型的免疫系统等。 目前，入侵检测系统使用两种基本的检测技术。一是对网络上的数据进行流量分析， 找出表现异常的网络行为。二是对网上流动的数据进行内容分析，找出“黑客”攻击的表 征。 流量截获分析是一种对进入系统的信息只读“信封”，不读信内容的做法。盛放网上信 息的“信封”除地址之外还包括其他一些内容。通过对信封上信息的分析可以发现与入侵 行为相关的某些特征。在这些特征当中，只有很小一部分可以使分析人员立即得出确定的 结论，其他则需要对大量数据进行相关分析。特别是对网络中不同时间点，不同空间点上 的数据进行相关分析。这做起来有相当的难度。 表征分析的办法是在网上传递的信息内容中寻找特定的关键字，这些关键字是在已知 的入侵实例中使用过的。注意到，在互联网上信息的传播是通过尺寸很小的数据“碎片” 来实现的。就是说，一个文件往往被分割成许多小块儿数据发送到网上，而每个小数据块 儿独立地在网上旅行，不考虑它与其他数据块儿的时间次序或其他关系。仅当到达了目的 地之后，这些小数据块才被重新装配起来。出于对处理效率和开销的考虑，目前网络安全 产品市场出售的大多数入侵检测产品都不做“碎片装配”的工作，这不能不使这些产品寻 找攻击表征的能力受到一些限制。 1 3 目前国内外主要入侵检测产品 1 c o m p u t e ra s s o c i a t e s 公司的s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 在确保网络的连接性能前提下，s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 可通过降低对 网络管理技能与时间的要求，显著提高网络安全性。s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 可以完全自动识别网络使用模式，特殊网络应用，并能识别基于网络的各种入侵、攻击和 滥用活动。另外，s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 还可将网络上发生的各种有关生 产应用、网络安全和公司策略方面的众多疑点提取出来。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 作为一种独立或补充产品进行设计，其特点包 括： 世界水平的攻击监测引擎，可以实现对网络攻击的监测； 丰富的u r l 控制表单，可以实现对2 0 0 ，0 0 0 个以上分类站点的控制； 世界水平对j a v a a e t i v e x 恶意小程序的监测引擎和病毒监测引擎； s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 远程管理插件，用于没有安装 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 的机器的s e s s i o n w a l l - 3 e t r u s ti n t r u s i o nd e t e c t i o n 记 5 第一章绪论 录文件的归档和查阅，及s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 报表的查阅与 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e e t i o n 的网络安全保护。s e s s i o n w a l l - 3 e t r u s ti n t r u s i o n d e t e c t i o n 屡获殊荣，是较全面的网络安全管理软件。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 的特点包括： 提供从先进的网络统计到特定用户使用情况的统计的全面网络应用报表。 网络安全功能包括内容扫描、入侵监测、阻塞、报警和记录。 w e b 和内部网络使用策略的监视和控制，对w e b 和公司内部网络访问策略实施监视和 强制实施。 公司保护( c o m p a n yp r e s e r v a t i o n ) ，或称诉讼保护，指对电子邮件内容进行监视，记 录、查看和存档。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 还包括用于w e b 访问的策略集( 用于监视阻 塞报警) 和用于入侵监测的策略集( 用于攻击监测、恶意小程序和恶意电子邮件) 。这些 策略集包含了s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 对所有通信进行扫描的策略，这些策 略不仅指定了扫描的模式、通信协议、寻址方式、网络域、u r l 以及扫描内容，还指定了 相应的处理动作。一旦安装s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n ，它将立即投入对入侵 企图和可疑网络活动的监视，并对所有w e b 浏览、电子邮件、新闻、t e l n e t 和f t p 活动 进行记录。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 还可方便地追加新规则，或利用菜单驱动选项 对现有规则进行调整。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 可以满足各种网络保护需求，它的主要应用对 象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、 i s p 、教育机构和政府机构等。 s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 是一种功能全面且使用方便的网络保护解决方 案，它克服了网络保护中的主要业务障碍，其采用的主要手段为： 最大程度地降低用户技能和资源需求。 提供一种经济的和可扩展的解决方案。 提供管理报表，提供灵活易用的工具。 从操作角度讲，s e s s i o n w a l l - 3 e t r u s ti n t r u s i o nd e t e c t i o n 去除了某些网络保护解决方案 在安装和操作的麻烦。实际上，s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 可以提供许多客户 所期望网络内在特性，而这些特性在过去是必需借助多种工具并通过复杂的分析之后才能 够得到的。为了达到这一目的，s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 采用了如下措施： 即插即用安装( 自动配置) ，易用的图形用户界面。 登录网络活动的在线查阅，实时统计和图形显示。 全面的“追根溯源( d r i l ld o w n ) ”报表，联机查询和定时报表。 易于更新的监视、阻塞和报警规则；综合的响应和报警集合，包括实时干涉，预定义 阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。 6 第一章绪论 用于监视和阻塞的全面u r l 站点分类和控制列表。 支持w e b 自速率系统( i 峪a c i ) ，先进的可疑小程序监测( 如，j a v a a c t i v e x 引擎) 。 综合病毒扫描引擎和病毒库。 完整的格式化内容和附件浏览器，电子文字模式内容的扫描和阻塞，菜单驱动的自动 地址解析。 特殊的保密特性，可以对控制访问权限提供登录和管理的访问控制。 s e s s i o n w a u - 3 e t r u s ti n t r u s i o nd e t e c t i o n 的特点： s e s s i o n w a l l - 3 e t r u s ti n t r u s i o nd e t e c t i o n 与大多数网络保护产品不同，它不是生硬地安 插在网络通信路径中的，而是完全透明的，不需要对网络和地址做任何的变化，也不会给 独立于平台的网络带来任何的传输延迟。 s e s s i o n w a l l - 3 e t r u s ti n t r u s i o nd e t e c t i o n 代表了最新一代i n t e r a c t 和i n t r a n e t 网络保护产 品，它具备较高的访问控制水平、用户的透明度、性能、灵活性、适应性和易用性。 s e s s i o n w a u - 3 e t r u s ti n t r u s i o nd e t e c t i o n 无需使用昂贵的u n i x 主机，也避免了因非路由防 火墙所造成的额外开销。另外，s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 还包括一个会话视 窗，可以用于网络入侵的监视、审计，并可以为电子通信的滥用现象提供充分的证据。 技术规范： 操作系统：w m d o w s9 5 ( o s r2 ) ，w i n d o w s9 8 或w i n d o w sn t4 0 ( s p 3 以上) 以上版本； 系统平台：i n t e lp e n t i u m1 0 0 m h z 以上： 内存：6 4 m br a m ； 磁盘空间：2 0 0 m b 可用空间； 网络接口：标准以太网伶牌环网f d d i ： 软件介质：c d r o m 。 2 n e t w o r ki c e 公司的b l a c k l c ed e f e r i d e ra n de n t e r p r i s ei c e p a c1 0 n e t w o r ki c e 公司的b l a c k i c ed e f e n d e r 是将基于主机和基于网络的检测技术结合起来， 用于w m d o w s 系统的产品。在安装b l a c k l c e 时，管理接口相当麻烦，配置选择也不是很多。 然而b a l c k l c e 执行起来相当好，能够进行碎片重组。 b l a c k i c e 能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该产品提供2 0 0 多个攻击签名，b l a c l d c e 要比许多其他基于网络的入侵检测产品表现的好。 但b l a c k l c e 的报告机制还不是令人太满意。基于w e b 的工具难于使用，通信未加密就 通过h 1 1 p 在线路上进行传输，而r e a l s e c u r e 和d r a g o n 对所有从传感器到控制台的通信都 进行加密。 b l a c k i c e 还提供一个被称为b l a c kt r a c k 的服务，这对于部分企业是十分有用的，但它 对于想隐蔽地进行入侵检测的用户来讲不太适用。b l a c kt r a c e 通过发起n e t b i o s 和d n s 反向查询来收集敌对主机信息。幸运的是，与n e t p r o w l e r 不一样，b l a c k i c e 允许用户自己 禁止这些查询。 7 第一章绪论 b l a e k i c e 的一个有趣的特性是它可以作为一个个人i d s 和防火墙的组合方案。b l a c k i c e 能关闭它检测到产生敌意操作的所有网络。 3 n f r 公司的i n t r u s i o nd e t e c t i o na p p l i a n c e4 0 n f r 是提出开放源代码概念的唯一i d s 厂商，这是它能够不断普及的最重要原因。n f r 通过n f r “研究版”免费发布它早期版本的源代码，尽管正式版与研究版相比进行了许多 修改，但是后者仍然能提供一个完整的i d s 方案。 在i d a 4 0 中，n f r 已经解决了其在管理工具和签名设置方面的种种不足。程序采用 基于w i n 3 2 的g u i 管理工具来取代原来基于j a v a 的工具，因为基于j a v a 的管理工具由于 浏览器的j a v a 实现不连续会经常崩溃。新管理g u i 为管理员提供了一个简单方法来配置和 监视部署的n f r 传感器，但事件清除仍然费力。 管理员只能得到单行的攻击描述，对攻击数据进行翻页操作非常麻烦。如果用户对常 用攻击方式的表达不是很