入侵检测系统通用技术要求.
入侵检测系统技术要求
入侵检测系统技术要求1.无处不在的监测:入侵检测系统应该能够监测和分析网络中的所有流量,包括入站和出站的流量。
对于大型网络来说,一个集中式入侵检测系统可能无法满足需求,因此需要分布式的入侵检测系统。
2.实时响应:入侵检测系统需要能够实时检测到入侵事件,并及时采取相应的响应措施,如阻止入侵者进一步访问,或者通知安全管理员做进一步处理。
实时响应可以减少安全事件对网络和系统造成的损害。
3.高度准确的检测:入侵检测系统需要具备高准确性的检测能力,能够区分正常网络活动和恶意活动。
为了达到高准确性,入侵检测系统可能会使用多种技术和算法,如基于规则的检测、基于统计的检测、基于机器学习的检测等。
4.多种检测维度:入侵检测系统需要能够检测多种类型的攻击和入侵行为。
这包括但不限于:网络扫描、漏洞利用、恶意软件、异常登录行为、数据包嗅探等。
入侵检测系统应该能够对网络中的各种恶意活动进行全面检测。
5.可扩展性:入侵检测系统需要能够适应不断变化的网络环境和威胁。
它应该具备良好的可扩展性,能够适应不同规模的网络,并且支持增加和移除新的检测规则及技术。
6.高性能和低延迟:入侵检测系统需要具备高性能和低延迟的特性。
它需要快速处理大量的网络流量,并及时响应检测到的入侵事件。
高性能和低延迟可以提高入侵检测系统的实用性和有效性。
7.日志和报告功能:入侵检测系统应该具备日志记录和报告功能,可以记录检测到的入侵事件,并生成详细的报告。
这些日志和报告可以帮助安全管理员分析网络的安全状况,及时发现和解决潜在的安全威胁。
8.全面的管理功能:入侵检测系统需要具备全面的管理功能,包括策略管理、报警管理、用户管理等。
这些管理功能可以帮助安全管理员更好地管理入侵检测系统,以及对网络进行有效的安全防护。
总之,入侵检测系统需要满足以上要求,以提供有效的网络安全保护和防御手段。
随着网络安全威胁的不断增加和演化,入侵检测系统也需要与时俱进,不断改进和更新,以适应不断变化的安全环境。
入侵检测系统的测试与评估
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。
开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。
本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
1 引言随着人们安全意识的逐步提高,入侵检测系统(IDS)的应用范围也越来越广,各种各样的IDS也越来越多。
那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题,都要对IDS进行测试和评估。
和其他产品一样,当IDS发展和应用到一定程度以后,对IDS进行测试和评估的要求也就提上日程表。
各方都希望有方便的工具,合理的方法对IDS进行科学。
公正并且可信地测试和评估。
对于IDS的研制和开发者来说,对各种IDS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IDS的使用者来说,由于他们对IDS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IDS产品宣传的误导。
IDS的用户对测试评估的要求尤为迫切,因为大多数用户对IDS本身了解得可能并不是很深入,他们希望有专家的评测结果作为自己选择IDS的依据。
总地来说,对IDS进行测试和评估,具有以下作用:·有助于更好地刻划IDS的特征。
通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。
·对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。
·利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。
入侵检测系统
入侵检测系统1. 引言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。
作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。
依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。
据统计,全球80%以上的入侵来自于内部。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 背国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。
如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。
虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
2. 入侵检测的概念和系统结构2.1 入侵检测的概念入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。
使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称IDS。
IDS入侵检测系统技术介绍(V1.0)
主机IDS和网络IDS的比较
基于网络的IDS系统的主要优点
成本底 攻击者转移证据很困难 实时检测和应答 能够检测未成功的攻击企图 操作系统独立。基于网络的IDS并与依赖主机的操作系 统做为检测资源。而基于主机的IDS系统需要特定的操 作系统才能发挥作用。
基于主机的IDS系统的主要优势
非常适用于加密和交换环境 实时的检测和应答 不需要额外的硬件
8
提 纲
什么是IDS IDS与FW IDS的实现方式 IDS的分析方式 IDS的结构 IDS面临的挑战 IDS的发展方向
9
入侵的分类
外部的: 你网络外面的侵入者,或者可能攻击你的外 部存在。外部的侵入者可能来自Internet, 拨号线, 物 理介入, 或者从同你网络连接的伙伴网络 内部的: 合法使用你的互连网络的侵入者。包括滥用 权力的人和模仿更改权力的人。
2
什么是IDS
IDS(Intrusion Detection System)就是入侵检测系 统; 它通过抓取网络上的所有报文,分析处理后,报告异 常和重要的数据模式和行为模式,使网络安全管理员 清楚的了解网络上发生的事件,并能够采取行动阻止 可能的破坏。
3
6
IDS的起源与发展
概念的诞生
1980年美国空军作了题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视),第一次详细 阐述了入侵检测的概念,同时提出了采用审计数据跟踪方法来监 视入侵活动的思想;
11
绕过防火墙的攻击
穿过防火墙的攻击行为
12
据统计80%的成功攻击来自 于防火墙内部!
13
防火墙的局限性
防火墙与入侵检测系统指标
12 日志功能 支持WELF的标准日志格式,可记录试图通过防火墙的非法数据包,可记录防火墙操作,支持日志导出功能。
13 可管理性 支持SNMP协议V3版本,同时提供相应的MIB库文件,能通过第三方网管软件对防火墙进行监测和控制。
14 支持路由 支持根据源地址或目的地址路由
15 支持生成数 支持生成树计算协议(包括PVST和CST)
5 带宽管理 支持层次化分级带宽管理功能
6 自身防御功能 支持抗DOS攻击
7 工作模式 透明、路由以及透明加路由的综合模式。
8 联动 与入侵检测系统联动
9 地址转换功能 可实现一一映射、多对一映射等不同方式的地址转换
10 系统管理 支持基于GUI的管理模式,通过SSL远程管理
11 H.323支持 支持基于H.323的视频会议和VoIP语音系统
安全证书及资质要求 1.中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》
2.中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
3.中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
4.中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》)
19 安全控制 可以主动阻断RESET报文
20 DHCP 支持DHCP服务,可同时作为DHCP服务器和客户端
21 邮件过滤 支持SMTP、POP3的发件人、收件人、邮件主题和附件的过滤
22 文件资源过滤 支持对FTP、HTTP的关键字过滤
23 安全证书及资质要求 1、通过国家有关安全部门的检验,具有相关的安全证书(中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》,中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》,被列入国家保密局安全产品推荐名单)防火墙产品入围数字福建定点采购范围。2、具有自主知识版权的国内产品。具备国家信息产品安全测评认证中心颁发的《信息安全服务二级资质》3、防火墙厂商提供售后服务承诺函原件
入侵检测系统
本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection sys tem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。《Next Generation Intrusion Detection in High-Speed Networks》对此做了描述,感兴趣的读者可参看。
在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。
在其他文章中,经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。如不特别指明,本文中两套术语意义相同。
IDS分类
一般来说,入侵检测系统可分为主机型和网络型。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
入侵检测技术
管理控制台
响应单元
事件分析器
事件数据库
事件产生器 用于 事后分析
• 作用是从整个计算环境中收集信息; • 信息收集包括收集:系统、网络、 数据及用户活动的状态和行为; • 并在不同关键点(不同网段和不同 主机)收集;
入侵检测系统的功能
入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动 态的安全检测技术。 一个合格的入侵检测系统应具备以下功能: 1. 监视用户和系统的运行状况,查找非法和合法用户的越权操作; 2. 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
基于主机的入侵检测系统的优点
– –
检测准确率高(精确地判断攻击行为是否成功) 适用于加密及交换环境
–
–
近于实时的检测和响应
不要求额外的硬件设备
–
–
能够检查到基于网络的系统检查不出的攻击
监视特定的系统活动(主机上特定用户)
基于主机的入侵检测系统的缺 点
–
HIDS依赖性强(系统必须是特定的,没有遭到破 坏的操作系统中才能正常工作)
它从计算机网络系统中的若干关键点收集信息,并分析这些信息;
根据信息来源不同,IDS可分为:
基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS)
基于主机的入侵检测系统
入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息,发现不安全的行为后采取相 应的措施
入侵检测系统的作用和目的
… …
• • • •
交换机
智能发现攻击 记录并发出报警信息 启动响应动作 审计跟踪
Internet
内部网
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
信息安全技术-入侵检测系统技术标准
入侵管理
网络型入侵检测系统应具有全局安全事件的管理能力,可与安全管理中心或网络管理中心进行联动。
4
与其它设备联动性要求
网络型入侵检测系统应具有与其它网络设备和网络安全部件(如漏洞扫描,交换机)按照设定的策略进行联动的能力。
5
管理控制功能要求
网络型入侵检测系统应具有多级测系统性能要求
还原能力:网络型入侵检测系统应对HTTP、FTP、SMTP、POP3、Telnet等主要的网络协议通信进行内容恢复和还原;当背景数据流低于网络有效带宽的80%时,系统应保证数据的获取和还原能够正常进行。
7
产品安全要求
多鉴别机制:系统应提供多种鉴别方式,或者允许授权管理员执行自定义的鉴别措施,以实现多重身份鉴别措施。多鉴别机制应同时使用。
入侵检测系统技术要求
设备品牌
设备型号
设备名称
检查地点
设备类型
安全设备
检查人员
检查日期
陪同人员
序号
检查项目
检查步骤/方法
符合
部分符合
不符合
1
入侵分析功能要求
网络型入侵检测系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。
2
入侵响应功能要求
网络型入侵检测系统应具有全局预警功能,控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其上级控制台或者下级控制台。
安装者应提供文档说明系统的安装、生成和启动的文档。
12
测试
安装者应提供测试的分析报告,测试分析结果应表明测试文档中所标识的测试安全功能与设计中所描述的安全功能相符。
13
功能测试
安装者应测试安全功能,并提供相应的测试文档。测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。
入侵检测技术
入侵检测技术
协议分析和状态协议分析与模式匹配比较:
入侵检测技术
3.状态转移分析
状态转移分析是使用高层状态转移图来表示和检测已知 入侵的误用检测技术。所有入侵者的入侵过程都可以看做是从 有限的特权开始,利用系统的弱点,逐步提升自身的权限。系 统状态迁移正是利用这一共性来表示入侵特征。入侵特征的状 态对应于系统状态,并具有迁移到另外状态的触发条件,通过 弧将连续的状态连接起来表示状态改变所需要的事件。在该方 法中,入侵以入侵者执行的活动序列来描述,该序列是从系统 的初始状态到达最终的危害状态。初始状态相对应于入侵开始 的状态,危害状态相对应于入侵完成时的系统状态。
信服的解释。
入侵检测技术
7.数据挖掘
数据挖掘采用的是以数据为中心的观点,它把入 侵检测问题看作一个数据分析过程,从审计数据流或网 络数据流中提取感兴趣的知识表示为概念、规则、规律、 模式等形式,用这些知识去检测异常入侵和已知的入侵。 具体的工作包括利用数据挖掘中的关联算法和序列挖掘 算法提取用户的行为模式,利用分类算法对用户行为和特 权程序的系统调用进行分类预测。
其优点是:原理简单、扩展性好、检测效 率比较高、可以实时检测;系统的实现、配置、维 护比较方便。缺点是:误报率比较高;在编写复杂 的入侵描述匹配规则时,需要的工作量大;不能检 测出未知的入侵行为。
入侵检测技术
2.专家系统
专家系统是最早的误用检测技术,早期的入侵检测系统 多使用这种技术。首先要把入侵行为编码成专家系统的规则, 使用类似于if…then的规则格式输入已有的知识(入侵模式)。 If部分为入侵特征,then部分为系统防范措施,当if部分的条 件全部满足时,触发then部分的防范措施,然后输入检测数据, 系统根据知识库中的内容对检测数据进行评估,判断是否存在 入侵行为。
入侵检测技术
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
入侵检测及其技术分析
入侵检测及其技术分析摘要:介绍入侵检测系统,并对其和其他信息安全技术进行比较,入侵检测的不同体系结构,主流的分析方法。
关键词:入侵检测信息安全技术体系结构分析方法一.当前国内外入侵检测技术情况介绍:入侵检测技术是继“防火墙”、“数据加密”等传统的安全保护措施后新一代的安全保障技术。
计算机系统各部分在设计、实现和部署使用中会给系统带来漏洞,因为没有经济可行的手段完全消除这些隐患,有效的入侵检测手段对于保证系统安全是必不可少的。
即使一个系统中不存在某个特定的漏洞,入侵检测系统仍然可以检测到相应的攻击事件,并调整系统的状态,对未来可能发生的侵入做出警告。
传统上,一般采用防火墙作为安全的第一道屏障。
但是随着攻击者技术的日趋成熟,攻击手法的日趋多样,单纯的防火墙已经不能很好的完成安全防护工作。
在这种情况下,入侵检测技术成为市场上新的热点。
入侵检测是防火墙的合理补充,帮助系统对付攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实现:·监视、分析用户及系统活动;·系统构造和弱点的审计;·识别反映已知进攻的活动模式并向相关人士报警;·异常行为模式的统计分析;·评估重要系统和数据文件的完整性;·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
二.入侵检测技术和其他安全技术的关系信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。
为达到以上的目的,在实践经验和一些理论研究的基础上,提出了一些安全模型,其中比较有代表性的就是PDR模型。
防护(Protection):安全的第一步,它的基础是响应与检测的结果检测(Detection):根据输入的数据,判断是否有入侵。
蓝盾入侵检测系统
产品组成
BD-NIDS由两部分组成:控制中心和检测引擎 检测引擎 BD-NIDS检测引擎实际是系统运行的核心,它监 听该引擎所在的物理网络上的所有通信信息,并 分析这些网络通信信息,将分析结果与检测引擎 上运行的策略集相匹配,依照匹配结果对网络信 息的交换执行报警、阻断、日志等功能。同时它 还需要完成对控制中心指令的接收和响应工作。 BD-NIDS的检测引擎部分是由策略驱动的网络监 听和分析系统。
入侵检测系统概述
入侵检测系统的分类 按数据来源,分三类:
基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统
按采用的方法,分三类:
基于行为的入侵检测系统 基于模型推理的入侵检测系统 采用两者混合检测的入侵检测系统
入侵检测系统概述
入侵检测系统的分类 按时间,分两类:
实时入侵检测系统 事后入侵检测系统
蓝盾入侵检测系统
广东天海威数码技术有限公司
内
入侵检测系统概述 蓝盾入侵检测系统简介
容
蓝盾入侵检测系统技术强项 蓝盾入侵检测系统主要功能特点 蓝盾入侵检测系统典型应用 蓝盾入侵检测系统基本操作
入侵检测系统概述
关于入侵检测系统 被认为是防火墙之后的第二道安全闸门!! 被认为是防火墙之后的第二道安全闸门!! 入侵检测系统(Intrusion Detection System) 就是对网络或操作系统上的可疑行为做出策略反 应,及时切断入侵源 ,记录、并通过各种途径通 知网络管理员,最大幅度地保障系统安全,是防 火墙的合理补充。在不影响网络性能的情况下能 对网络进行监测,从而提供对内部攻击、外部攻 击和误操作的实时保护, 最大幅度地保障系统安 全。
入侵检测系统概述
术语和定义 入侵intrusion:任何企图危害资源完整性、保密 性、可用性的行为。 报警alert:当有入侵正在发生或正在尝试时, IDS发出紧急通知,可以消息、邮件等形式发出。 入侵特征:预先定义好的能够确认入侵行为的特定 信息。 引擎:IDS中进行数据采集、分析的软硬件结合 体。
信息技术设备安全 第 1 部分:通用要求
信息技术设备安全第一部分:通用要求随着信息技术的快速发展,现代社会已经离不开各种信息技术设备。
然而,随之而来的是信息安全和设备安全的威胁。
为了保障信息技术设备的安全,我们需要制定一系列的通用要求,从而确保信息技术设备的安全和可靠性。
1. 安全策略制定并实施安全策略是确保信息技术设备安全的关键。
安全策略包括安全意识教育、安全合规性和安全审计等方面。
通过教育培训,员工能够更好地了解安全风险和预防措施,从而降低设备被攻击的可能性。
安全合规性是指遵守相关的法律法规和行业标准,确保设备的安全性。
安全审计是对设备安全进行全面的检查和评估,及时发现并解决安全隐患。
2. 访问控制访问控制是信息技术设备安全的基础。
只有授权的人员才能够访问设备,并且只能访问到其需要的信息和功能。
这可以通过身份验证、权限管理和加密传输等手段来实现。
这样可以在很大程度上防止未经授权的访问和信息泄露。
3. 强密码设备的密码设置非常重要。
强密码可以有效防止密码被破解。
强密码应该是由大写字母、小写字母、数字和特殊符号组成的,长度不少于8个字符。
并且建议定期更换密码,避免使用简单的常见密码。
4. 定期更新定期更新设备的软件和操作系统是确保设备安全的重要措施。
软件更新通常包括修复系统漏洞、优化系统性能和增强安全功能。
及时更新系统可以避免系统被利用漏洞进行攻击。
除了定期更新软件,还需要定期备份重要数据,以便在发生意外时能够及时恢复数据。
5. 反病毒防护安装和及时更新反病毒软件可以有效防止病毒和恶意软件的感染。
反病毒软件可以扫描设备中的文件和程序,及时发现和清除潜在的威胁。
除了反病毒软件,还需要定期进行全盘扫描和移动介质的扫描,确保设备的安全。
6. 物理安全信息技术设备的物理安全也是至关重要的。
设备应该放置在安全的地方,同时配备相应的防盗设备和监控设备。
为了防止设备被盗或者损坏,可以使用进出控制系统、视瓶监控系统和报警系统等。
通过遵守以上通用要求,可以有效提高信息技术设备的安全性,防范各种安全风险。
入侵检测系统通用技术规范
入侵检测系统通用技术规范入侵检测系统采购标准规范使用说明1. 本标准规范作为国家电网公司入侵检测系统通用物资采购的统一技术规范书,由通用部分、专用部分、投标人响应和使用说明等四个部分组成,适用于国家电网公司入侵检测系统通用物资集中采购采购。
2. 通用部分包括一般性技术条款,原则上不需要项目招标人(项目单位)填写,不能随意更改。
如通用部分相关条款确实需要改动,项目单位应填写《通用部分技术条款\技术参数变更表》并加盖该网、省公司物资采购管理部门的公章,及辅助说明文件随招标计划一起提交至招标文件审查会。
经标书审查同意后,对通用部分的修改形成《技术通用部分条款变更表》,放入专用部分中,随招标文件同时发出并视为有效。
3. 本标准规范的专用部分主要包含货物需求及供货范围一览表、必备的备品备件、专用工具和仪器仪表供货表、工程概况、使用条件、技术参数要求等内容,项目单位和设计单位在招标前应结合技术发展并根据实际需求认真填写。
4. 本标准规范的投标人应答部分主要包括技术参数应答表、技术偏差表、投标产品的销售及运行业绩表、主要部件列表、推荐的备品备件、专用工具和仪器仪表供货表、培训及到货需求一览表等内容,由投标人填写。
5. 本标准规范的页面、标题等均为统一格式,不得随意更改。
6. 本规范将根据技术发展和市场变化定期或不定期做出修编,各使用单位注意查询最新版本,以免物资采购出现差错。
目录1 总则 (1)1.1 一般规定 (1)1.2 投标人应提供的资质及相关证明文件 (1)1.3 工作范围和进度要求 (1)1.4 标准和规范 (1)1.5 需随设备提供的资料 (2)1.6 投标时必须提供的技术数据和信息 (2)1.7 备品备件 (2)1.8 专用工具和仪器仪表 (2)1.9 到货、安装、调试、验收 (2)2 其他要求 (3)3 试验 (3)4 质保、技术服务 (3)4.1 质保 (3)4.2 技术服务 (4)1 总则1.1 一般规定1.1.1 投标人应具备招标公告所要求的资质,具体资质要求详见招标文件的商务部分。
第8章入侵检测技术方案
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
入侵检测(ID)技术及其产品标准化浅析
中国质量与标准导报 2019 / 2谢宗晓 博士“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。
自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。
目前,已发表论文80多篇,出版专著近20本。
入侵检测(ID)技术及其产品标准化浅析李榛(内蒙古自治区国土资源信息院)谢宗晓(中国金融认证中心)摘要:介绍了入侵检测防御产品(IDS/IPS)的概念、主要发展过程、主要技术路线、未来发展趋势以及相关的国际和国家标准。
关键词:信息安全 入侵检测系统 标准化Analysis of Intrusion Detection (ID) Technology and its Product StandardizationLi Zhen(Inner Mongolia Autonomous Region land and Resources Information Institute)Xie Zongxiao (China Financial Certification Authority)Abstract: This paper introduces the concept of intrusion detection and prevention systems (IDPS), the main development process, the main technical routes, future development trends and related international/national standards.Key words: information security, Intrusion Detection System (IDS), standardization1 概念所有未经允许的进入都可以称为“入侵”,这个词汇在物理层面并不难判断,例如国土遭到了敌人入侵,但是在虚拟的网络空间(cyberspace)中,入侵的概念变得广义且模糊,黑客攻击肯定是入侵行为,但是尚未破解的口令尝试也算,直至恶意代码等都可以列入其中。
信息安全技术入侵检测系统技术要求和测试评价方法
ICS35.040L 80信息安全技术入侵检测系统技术要求和测试评价方法Information security technology-Techniques requirements and testing and evaluation approaches forintrusion detection system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 20275—2006目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 缩略语 (2)5 入侵检测系统等级划分 (3)5.1 等级划分说明 (3)5.1.1 第一级 (3)5.1.2 第二级 (3)5.1.3 第三级 (3)5.2 安全等级划分 (3)5.2.1网络型入侵检测系统安全等级划分 (3)5.2.2主机型入侵检测系统安全等级划分 (6)6 入侵检测系统技术要求 (7)6.1 第一级 (7)6.1.1 产品功能要求 (7)6.1.2 产品安全要求 (9)6.1.3 产品保证要求 (10)6.2 第二级 (11)6.2.1 产品功能要求 (11)6.2.2 产品安全要求 (12)6.2.3 产品保证要求 (13)6.3 第三级 (15)6.3.1 产品功能要求 (15)6.3.2 产品安全要求 (15)6.3.3 产品保证要求 (16)7 入侵检测系统测评方法 (18)7.1 测试环境 (18)7.2 测试工具 (19)7.3 第一级 (19)7.3.1 产品功能测试 (19)7.3.2 产品安全测试 (25)7.3.3 产品保证测试 (27)7.4 第二级 (29)7.4.1 产品功能测试 (29)7.4.2 产品安全测试 (31)IGB/T ××××—200×7.4.3 产品保证测试 (33)7.5 第三级 (37)7.5.1 产品功能测试 (37)7.5.2 产品安全测试 (38)7.5.3 产品保证测试 (39)参考文献 (44)IIGB/T 20275—2006前言(略)IIIGB/T 20275—2006信息安全技术入侵检测系统技术要求和测试评价方法1 范围本标准规定了入侵检测系统的技术要求和测试评价方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
性能要求
6、 管理能力
支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式;
在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等) 每秒并发 TCP 会话数≥100000; 最大并发 TCP 会话数≥200000; 最大包捕获和处理能力≥200Mb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接;
入侵检测系统技术要求
千兆入侵检测系统
编号
项目
1. 机种
பைடு நூலகம்
要求 千兆机架式硬件设备;
备注
*
2. 监听口要求/数量 多模光纤(FDDI)模块≥2;
3.
语言支持要求
支持全中文的操作界面以及中文详细的解决方 *
案报告。
4. 入侵检测能力 支持深度协议识别,能够监测基于 Smart Tunnel
方式伪造和包装的通讯;
足即为废标。
7. 日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将检测到的攻击行为 在探测器本地保存,等到网络恢复正常自动的 同步到控制台或日志数据库。不会出现网络断 开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容;
用信息安全产品认证》;
百兆入侵检测系统
编号
项目
1
机种
2
监听口/数量
3
语言支持要求
4
入侵检测能力
要求
备注
百兆机架式硬件设备;
*
10/100Base-TX,总数≥2;
支持全中文的操作界面以及中文详细的解决方 *
案报告
支持深度协议识别,能够监测基于 Smart Tunnel 方式伪造和包装的通讯; 支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
情况下,探测引擎仍然会将检测到的攻击行为
在探测器本地保存,等到网络恢复正常自动的
同步到控制台或日志数据库。不会出现网络断
开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
报表系统可以自动生成各种形式的攻击统计和
流量统计报表报表,形式包括日报表,月报表,
报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分 析等多种分析方式,以直观、清晰的方式从总 体上分析网络上发生的各种事件,为管理人员 提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
用信息安全产品认证》;
注:在设备的规格和技术要求中标注*号项为必须满足的要求,任何一项不满
5. 性能要求 6. 管理能力
每秒并发 TCP 会话数≥200000; 最大并发 TCP 会话数≥500000; 最大处理能力≥1.2Gb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接; 控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
7
日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的
年报表等,通过来源分析,目标分析,类别分
析等多种分析方式,以直观、清晰的方式从总
体上分析网络上发生的各种事件,为管理人员
提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8.
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容; 支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式; 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出; 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等);