入侵检测系统通用技术要求.
入侵检测系统技术要求
入侵检测系统技术要求
1.无处不在的监测:入侵检测系统应该能够监测和分析网络中的所有
流量,包括入站和出站的流量。对于大型网络来说,一个集中式入侵检测
系统可能无法满足需求,因此需要分布式的入侵检测系统。
2.实时响应:入侵检测系统需要能够实时检测到入侵事件,并及时采
取相应的响应措施,如阻止入侵者进一步访问,或者通知安全管理员做进
一步处理。实时响应可以减少安全事件对网络和系统造成的损害。
3.高度准确的检测:入侵检测系统需要具备高准确性的检测能力,能
够区分正常网络活动和恶意活动。为了达到高准确性,入侵检测系统可能
会使用多种技术和算法,如基于规则的检测、基于统计的检测、基于机器
学习的检测等。
4.多种检测维度:入侵检测系统需要能够检测多种类型的攻击和入侵
行为。这包括但不限于:网络扫描、漏洞利用、恶意软件、异常登录行为、数据包嗅探等。入侵检测系统应该能够对网络中的各种恶意活动进行全面
检测。
5.可扩展性:入侵检测系统需要能够适应不断变化的网络环境和威胁。它应该具备良好的可扩展性,能够适应不同规模的网络,并且支持增加和
移除新的检测规则及技术。
6.高性能和低延迟:入侵检测系统需要具备高性能和低延迟的特性。
它需要快速处理大量的网络流量,并及时响应检测到的入侵事件。高性能
和低延迟可以提高入侵检测系统的实用性和有效性。
7.日志和报告功能:入侵检测系统应该具备日志记录和报告功能,可以记录检测到的入侵事件,并生成详细的报告。这些日志和报告可以帮助安全管理员分析网络的安全状况,及时发现和解决潜在的安全威胁。
8.全面的管理功能:入侵检测系统需要具备全面的管理功能,包括策略管理、报警管理、用户管理等。这些管理功能可以帮助安全管理员更好地管理入侵检测系统,以及对网络进行有效的安全防护。
信息安全技术 网络入侵检测系统技术要求和测试评价方法 编制说明
国家标准《信息安全技术网络入侵检测系统技术要求和测试评价方法》(工作组讨论稿)编制说明
1.工作简况
1.1.任务来源
2019年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》国家标准,国标计划号:待定。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所负责主编。
1.2.主要起草单位和工作组成员
上海国际技贸联合有限公司牵头、公安部第三研究所主要负责编制,中国网络安全审查技术与认证中心、北京神州绿盟科技有限公司、网神信息技术(北京)股份有限公司、启明星辰信息技术集团股份有限公司等单位共同参与了该标准的起草工作。
1.3.主要工作过程
按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2019年09月,完成了对网络入侵检测系统的相关技术文档和有关标准的前期基础调研。在调研期间,主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解。
2019年10月完成了标准草稿的编制工作。以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草案(第一稿)。
2019年10月09日,编制组在北京召开标准编制工作启动会,会后,收集整
入侵检测系统
入侵检测系统
1. 引言
1.1 背景
近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 背国内外研究现状
入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
入侵检测的评估与标准(一)
入侵检测的评估与标准(一)
入侵检测的评估与标准
1. 引言
•入侵检测系统(Intrusion Detection System, IDS)是网络安全防护的重要组成部分之一。
•评估和标准对于确保入侵检测系统的可靠性和有效性非常重要。2. 评估原则
•评估入侵检测系统应该遵循以下原则:
1.全面性:评估覆盖所有可能的入侵方法和技术。
2.实用性:评估结果能够为实际防御提供有效的指导和建议。
3.客观性:评估结果应基于客观的数据和准确的测试过程。
4.可复现性:评估过程应可重复进行,以确保结果的准确性。
3. 评估方法
•常用的入侵检测系统评估方法包括:
1.基准测试:通过使用已知的攻击模式和漏洞来评估系统的
检测能力。
2.模拟攻击:利用模拟工具模拟各种攻击行为,测试系统的
检测和响应能力。
3.实战测试:在真实网络环境中进行测试,检验系统对真实
威胁的识别和响应能力。
4.安全漏洞扫描:通过扫描系统中的漏洞,评估系统的漏洞
管理和修复能力。
4. 评估指标
•在评估入侵检测系统时,可以考虑以下指标:
1.准确率:系统正确识别和报警的比例。
2.假阳性率:系统错误地将正常行为误报为入侵行为的比例。
3.检测率:系统成功检测到的入侵事件的比例。
4.响应时间:系统发现入侵事件后采取相应措施所需的时间。
5.可伸缩性:系统在大规模网络环境下的工作能力和性能。5. 入侵检测标准
•国际上常用的入侵检测标准包括:
1.入侵检测评估计划(Intrusion Detection Evaluation
Plan, IDEP):提供评估方法和工具,用于评估入侵检测
入侵检测技术
1.4.2 入侵检测的未来发展
1.良好的适应性 2.必须协调、适应多样性的环境中的不同的 安全策略
网络及其中的设备越来越多样化,既存在关 键资源如邮件服务器、企业数据库,也存在 很多相对不是很重要的PC机。不同企业之间 这种情况也往往不尽相同。入侵检测系统要 能适应多样的环境要求。
1.5 入侵检测系统的选购策略
1.2.1 入侵检测系统的组成 1.2.2 入侵检测系统的类型
1.2.1 入侵检测系统的组成
从功能上讲,入侵检测系统由探测器、分析器和用户接口组成。 1.探测器 探测器主要负责收集数据。探测器的输入数据包括任何可能包 含入侵行为线索数据,比如说网络数据包、日志文件和系统调 用记录等。探测器将这些数据收集起来,然后发送到分析器进 行处理。 2.分析器 分析器又可称为检测引擎,它负责从一个或多个探测器处接收 信息,并通过分析来确定是否发生了非法入侵活动。分析器组 件的输出是标识入侵行为是否发生的指示信号。 3用户接口 IDS的用户接口使得用户易于观察系统的输出信息,并对系统行 为进行控制。
3.入侵检测系统的需求特性 1)可靠性: 2)适应性:检测系统必须能随时追踪系统环境的改变。 3)有效性:能检测系统的报告错误或漏报控制在一定的范围内。 4)安全性:检测系统必须难于被欺骗,能够保护自身的安全。 5)容错性:检测系统的容错要求即使在系统崩溃的情况下,检测 系统仍能保留下来。
989428-入侵检测技术-第10章 入侵检测系统的相关标准与评估
•
1、IDMEF
•
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了
使用此模型的基本原理。该数据模型用XML实现,并设计了一个XML
文档类型定义。自动入侵检测系统可以使用IDMEF提供的标准数据格
式对可疑事件发出警报,提高商业、开放资源和研究系统之间的互操作
性。IDMEF最适用于入侵检测分析器(或称为“探测器”)和接收警
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (2) 路由 • 组件之间要通信时,有时需经过非透明的防火墙,发送方先将数据
包传递给防火墙的关联代理,然后再由此代理将数据包转发到目的 地。CIDF采用了两种路由:源路由和绝对路由。 • (3) 消息层 • 消息层要实现的功能包括: • 提供一个开放的体系结构; • 使消息独立于操作系统、编程语言和网络协议; • 简化向CIDF中增添新组件的过程; • 支持鉴定与保密等安全需求; • 同步(封锁进程与非封锁进程)。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
CIDF的通信机制主要讨论消息的封装和传递,主要分为4个方面。 • (1) 配对服务 • 配对服务采用了一个大型目录服务LDAP(轻量级目录访问协议),
每个组件都要到此目录服务进行注册,并通告其他组件其所使用或 产生的GIDO类型。在此基础上,组件才能被归入它所属的类别中, 组件之间才能互相通信。 • 配对服务还支持一些安全选项(如公钥证书、完整性机制等),为 各个组件之间安全通信、共享信息提供了一种统一的标准机制,大 大提高了组件的互操作性,降低了开发多组件入侵检测与响应系统 的难度。
入侵检测系统的标准与评价
入侵检测系统的标准与评估
的模型有两类:即面向对象的数据模型和基于 XML的数据模型。
入侵检测系统的标准与评估
27
面向对象的数据模型用于IDMEF的原 因
报警信息固有的不同类型使得应提出一种足够灵活的
数据表示格式,使之能适应不同的需要。 入侵检测工具的环境都不是相同的。相同的攻击可以 用不同的检测工具报告,而所报告的信息是不一样 的。 入侵检测工具的能力不同。为了进一步处理报警信 息,数据模型应当通过工具方便地转换格式,而不是 使用入侵探测器。 入侵检测的操作系统环境是不同的,数据模型应该容 纳这些不同点。 商业厂商的目标是不同的。开发商希望传递少量关于 某些攻击的信息,这样有利于产品的销售。
入侵检测系统的标准与评估
2
入侵检测的标准化工作
入侵检测技术在最近几年发展迅速,但是相应的入
侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作,他们是 Common Intrusion Detection Framework(CIDF) 和IETF(Internet Engineering Task Force)下 属的Intrusion Detection Working Group (IDWG)。 他们强调了入侵检测的不同方面,并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
入侵检测技术
入侵检测系统分类
·基于主机的入侵检测系统的特点: 基于主机的入侵检测系统的特点: (1)监视特定的系统活动 监视特定的系统活动 HIDS监视用户和访问文件的活动,包括文件访问、改变 监视用户和访问文件的活动, 监视用户和访问文件的活动 包括文件访问、 文件权限, 文件权限,试图建立新的可执行文件或者试图访问特殊的设备 。 (2)能够检查到基于网络的入侵检查系统检查不出的攻击 能够检查到基于网络的入侵检查系统检查不出的攻击 HIDS可以检测到那些基于网络的入侵检测系统察觉不到 可以检测到那些基于网络的入侵检测系统察觉不到 的攻击。例如,来自主要服务器键盘的攻击不经过网络, 的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以 可以躲开基于网络的入侵检测系统。 可以躲开基于网络的入侵检测系统。 (3)适用于采用了数据加密和交换式连接的子网环境 适用于采用了数据加密和交换式连接的子网环境 由于}[IDS安装在遍布子网的各种丰机上,它们比基于网 安装在遍布子网的各种丰机上, 由于 安装在遍布子网的各种丰机上 络的入侵检测系统更加适于交换式连接和进行了数据加密的环 境。
入侵检测系统概述
入侵检测系统(IDS) 入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为进行 识别的系统,被认为是防火墙之后的第二道安全闸门, 识别的系统,被认为是防火墙之后的第二道安全闸门,在不影响网 络性能的情况下能对网络进行监测,提供对内部攻击、 络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和 误操作的实时保护。这些都通过它执行以下任务来实现: 误操作的实时保护。这些都通过它执行以下任务来实现: 监视、分析用户及系统活动。 1)监视、分析用户及系统活动。 系统构造和弱点的审计。 2)系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 3)识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 4)异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 5)评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理, 6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为 。
信息安全技术_08入侵检测技术与网络入侵检测系统产_OK
• 5) 辅助模块:协助入侵分析引擎模块工作,为它提供 相应的信息,如攻击模式库、系统配置库和安全控制 策略等。
30
第 5 讲 安全检测技术
• 3. 入侵检测系统的结构
• 由于IDS的物理实现方式不同,即系统组成的结构不同, 按检测的监控位置划分,入侵检测系统可分为基于主 机、基于网络和分布式三类。
11
第 5 讲 安全检测技术
• 异常发现技术的局限是,并非所有的入侵都表现为 异常,而且系统的轨迹也难以计算和更新。例如, 一般在白天使用计算机的某用户,如果他突然在午 夜注册登记,则有可能被认为是入侵者在使用。
12
第 5 讲 安全检测技术
• 2) 基于知识的检测,也被称为误用检测。
• 是指运用已知攻击方法,根据已定义好的入侵模式, 通过与这些入侵模式是否匹配来判断入侵。入侵模 式是入侵过程的特征、条件、排列以及事件间的关 系,即具体入侵行为的迹象。这些迹象不仅对分析 已经发生的入侵行为有帮助,而且对即将发生的入 侵也有警戒作用,因为只要部分满足这些入侵迹象 就意味着可能有入侵发生。
20
第 5 讲 安全检测技术
• 5) 分析器 (Analyzer) :入侵检测的构件或进程,它分析 传感器搜集的数据,这些数据反映了一些非授权的或 不希望的活动,以及安全管理员感兴趣的安全事件的 迹象。在很多现有的入侵检测系统中,将传感器和分 析器作为同一构件的不同部分。
《网络空间安全导论》第6章 入侵检测技术
6.3 入侵检测的分类
2.分布式入侵检测系统(DIDS, Distributed Intrusion Detection System) 分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机 和设备上。分布性主要体现在数据收集模块上。如果网络环境比较复 杂,或者数据流量较大,那么数据分析模块也会分布。按照层次性的 原则进行组织。如图6.5所示为DIDS工作原理图。
是入侵行为,但不是异常行为。 不是入侵行为,但是表现为异常行为。 不是入侵行为,也不是异常行为。 是入侵行为,也表现为异常行为。
6.3 入侵检测的分类
6.3.3 根据所采用的技术分类
6.3 入侵检测的分类
2.误用入侵检测原理 误用入侵检测依赖于入侵特征的模式库。误用人侵检测能直接检测出 入侵特征模式库中已涵盖的入侵行为或不可接受的行为。而异常入侵 检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具 有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理, 可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用人 侵检测主要的缺点或局限性是它仅仅可检测已知的攻击行为。不能检 测未知的入侵行为。
6.4 入侵检测技术的发展未来
6.4.3 从IDS到IPS和IMS 网络入侵检测技术发展到现在大致经历了三个阶段: 第一阶段:入侵检测系统IDS。IDS能够帮助网络系统快速发现网络攻 击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视 、进攻识别和响应),提高了信息安全基础结构的完整性。 第二阶段:入侵防御系统IPS。IPS还处于发展阶段,综合了防火墙、 IDS、漏洞扫描与评估等安全技术,可以主动的、积极的防范、阻止 系统入侵,它部署在网络的进出口处,当它检测到攻击企图后,它会 自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到 达目标,从而可以从根本上避免攻击。如图6.10所示,IPS在部署上是 串联在网络当中的。
入侵检测系统的标准与评价
CIDF的规范文档
❖ Arichitecture:提出了IDS的通用体系结构,用 以说明IDS各组件间通信的环境。
❖ Communication:说明了IDS各种不同组件间 如何通过网络进行通信。
第7章 入侵检测系统的标准与 评估
入侵检测系统的标准与评
估:
❖ 入侵检测的标准化工作
❖ 入侵检测系统的性能指标
❖ 网络入侵检测系统测试评估
❖ 测试评估内容
Байду номын сангаас
❖ 测试环境和测试软件
❖ 用户评估标准
❖ 入侵检测评估方案
入侵检测系统的标准与评估
1
入侵检测的标准化工作
❖ 入侵检测技术在最近几年发展迅速,但是相应的入 侵检测标准化工作则进展缓慢。
❖ 他们强调了入侵检测的不同方面,并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
2
CIDF
❖ CIDF标准化工作基于这样的思想:入侵行为 是如此广泛和复杂,以至于依靠某个单一的 IDS不可能检测出所有的入侵行为,因此需要 一个IDS系统的合作来检测跨越网络或跨越较 长时间段的不同攻击。为了尽可能地减少标 准化工作,CIDF把IDS系统合作的重点放在 了不同组件的合作上。
信息技术设备安全 第 1 部分:通用要求
信息技术设备安全
第一部分:通用要求
随着信息技术的快速发展,现代社会已经离不开各种信息技术设备。
然而,随之而来的是信息安全和设备安全的威胁。为了保障信息技术
设备的安全,我们需要制定一系列的通用要求,从而确保信息技术设
备的安全和可靠性。
1. 安全策略
制定并实施安全策略是确保信息技术设备安全的关键。安全策略包括
安全意识教育、安全合规性和安全审计等方面。通过教育培训,员工
能够更好地了解安全风险和预防措施,从而降低设备被攻击的可能性。安全合规性是指遵守相关的法律法规和行业标准,确保设备的安全性。安全审计是对设备安全进行全面的检查和评估,及时发现并解决安全
隐患。
2. 访问控制
访问控制是信息技术设备安全的基础。只有授权的人员才能够访问设备,并且只能访问到其需要的信息和功能。这可以通过身份验证、权
限管理和加密传输等手段来实现。这样可以在很大程度上防止未经授
权的访问和信息泄露。
3. 强密码
设备的密码设置非常重要。强密码可以有效防止密码被破解。强密码
应该是由大写字母、小写字母、数字和特殊符号组成的,长度不少于8个字符。并且建议定期更换密码,避免使用简单的常见密码。
4. 定期更新
定期更新设备的软件和操作系统是确保设备安全的重要措施。软件更
新通常包括修复系统漏洞、优化系统性能和增强安全功能。及时更新
系统可以避免系统被利用漏洞进行攻击。除了定期更新软件,还需要
定期备份重要数据,以便在发生意外时能够及时恢复数据。
5. 反病毒防护
安装和及时更新反病毒软件可以有效防止病毒和恶意软件的感染。反
病毒软件可以扫描设备中的文件和程序,及时发现和清除潜在的威胁。除了反病毒软件,还需要定期进行全盘扫描和移动介质的扫描,确保
入侵检测系统通用技术规范
入侵检测系统通用技术规范
入侵检测系统
采购标准规范使用说明
1. 本标准规范作为国家电网公司入侵检测系统通用物资采购的统一技术规范书,由通用部分、专用部分、投标人响应和使用说明等四个部分组成,适用于国家电网公司入侵检测系统通用物资集中采购采购。
2. 通用部分包括一般性技术条款,原则上不需要项目招标人(项目单位)填写,不能随意更改。如通用部分相关条款确实需要改动,项目单位应填写《通用部分技术条款\技术参数变更表》并加盖该网、省公司物资采购管理部门的公章,及辅助说明文件随招标计划一起提交至招标文件审查会。经标书审查同意后,对通用部分的修改形成《技术通用部分条款变更表》,放入专用部分中,随招标文件同时发出并视为有效。
3. 本标准规范的专用部分主要包含货物需求及供货范围一览表、必备的备品备件、专用工具和仪器仪表供货表、工程概况、使用条件、技术参数要求等内容,项目单位和设计单位在招标前应结合技术发展并根据实际需求认真填写。
4. 本标准规范的投标人应答部分主要包括技术参数应答表、技术偏差表、投标产品的销售及运行业绩表、主要部件列表、推荐的备品备件、专用工具和仪器仪表供货表、培训及到货需求一览表等内容,由投标人填写。
5. 本标准规范的页面、标题等均为统一格式,不得随意更改。
6. 本规范将根据技术发展和市场变化定期或不定期做出修编,各使用单位注意查询最新版本,以免物资采购出现差错。
目录
1 总则 (1)
1.1 一般规定 (1)
1.2 投标人应提供的资质及相关证明文件 (1)
1.3 工作范围和进度要求 (1)
入侵检测系统配置规范
目录
1.1.引用说明 (2)
1.2.授权管理配置要求 (2)
1.3.系统部署配置要求 (3)
1.4.系统升级配置要求 (3)
1.5.策略管理配置要求 (3)
1.6.告警事件呈现和响应配置要求 (4)
1.7.数据分析处理配置要求 (4)
2.编制历史 (4)
3.附录:入侵检测系统的典型配置场景: (4)
3.1.基本的签名项 (5)
3.1.1.网络层IP协议异常检测 (5)
3.1.2.传输层TCP和UDP协议异常 (5)
3.1.3.对常见应用层协议的检测 (5)
3.1.4.对于DDOS攻击和扫描的检测 (5)
3.2.典型应用环境1:以windows系统为主的OA办公环境 (5)
3.3.典型应用环境2:保护重要内部应用服务器 (6)
3.4.典型环境3-WEB类应用 (6)
入侵检测系统功能和配置要求1.1. 引用说明
1.2. 授权管理配置要求
1.3. 系统部署配置要求
1.4. 系统升级配置要求
1.5. 策略管理配置要求
注意:IDS策略配置应根据操作系统、应用的版本、漏洞、加载补丁等具体情况,权衡漏报和误报对监控的影响。
1.6. 告警事件呈现和响应配置要求
1.7. 数据分析处理配置要求
2.编制历史
版本号更新时间主要内容或重大修改
1.0.0 2008-02-03 1.0.0版本
1.0.1 2008-10-10 根据评审意见修改
3.附录:入侵检测系统的典型配置场景:
入侵检测系统是通过旁路监听,分析网络上的协议报文,进行模式匹配和异常检测,发现网络攻击和内部人员滥用的设备。由于其部署的位置和实现技术的原因,入侵检测系统很难消除误报警和漏报警的现象。而管理员通过对入侵检测系统所监控网络的应用场景分析,对入
信息安全技术入侵检测系统技术要求和测试评价方法
ICS35.040
L 80
信息安全技术
入侵检测系统技术要求和测试评价方法
Information security technology-
Techniques requirements and testing and evaluation approaches for
intrusion detection system
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布
GB/T 20275—2006
目次
前言............................................................................ III
1 范围 (1)
2 规范性引用文件 (1)
3 术语和定义 (1)
4 缩略语 (2)
5 入侵检测系统等级划分 (3)
5.1 等级划分说明 (3)
5.1.1 第一级 (3)
5.1.2 第二级 (3)
5.1.3 第三级 (3)
5.2 安全等级划分 (3)
5.2.1网络型入侵检测系统安全等级划分 (3)
5.2.2主机型入侵检测系统安全等级划分 (6)
6 入侵检测系统技术要求 (7)
6.1 第一级 (7)
6.1.1 产品功能要求 (7)
6.1.2 产品安全要求 (9)
6.1.3 产品保证要求 (10)
6.2 第二级 (11)
6.2.1 产品功能要求 (11)
6.2.2 产品安全要求 (12)
6.2.3 产品保证要求 (13)
6.3 第三级 (15)
6.3.1 产品功能要求 (15)
6.3.2 产品安全要求 (15)
6.3.3 产品保证要求 (16)
第8章入侵检测技术方案
将大量原始数据集中起来会影响网络通信量
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.3 入侵检测系统分类
(2)分布式体系结构 该结构的特点是将不同的代理安装在不同的
目标机上,实时地分析数据,但记录本身在被目 标机上的检测引擎分析提出有用信息之后就被丢 弃了。该结构的优点是实时告警、实时响应。缺 点是降低了口标机的性能,没有原始数据档案, 降低了数据辨析能力。
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了使用此模型 的基本原理。该数据模型用XML实现,并设计了一个XML文档类型定义。 2.IDXP
8.6 案例 8.6.1 Snort的安装与使用
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
入侵分析
数据存储
数据提取
原始数据流
图8-2 系统构成
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容; 支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式; 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出; 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等);
年报表等,通过来源分析,目标分析,类别分
析等多种分析方式,以直观、清晰的方式从总
体上分析网络上发生的各种事件,为管理人员
提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8.
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
7
日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的
5. 性能要求 6. 管理能力
每秒并发 TCP 会话数≥200000; 最大并发 TCP 会话数≥500000; 最大处理能力≥1.2Gb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接; 控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
Hale Waihona Puke Baidu
用信息安全产品认证》;
注:在设备的规格和技术要求中标注*号项为必须满足的要求,任何一项不满
入侵检测系统技术要求
千兆入侵检测系统
编号
项目
1. 机种
要求 千兆机架式硬件设备;
备注
*
2. 监听口要求/数量 多模光纤(FDDI)模块≥2;
3.
语言支持要求
支持全中文的操作界面以及中文详细的解决方 *
案报告。
4. 入侵检测能力 支持深度协议识别,能够监测基于 Smart Tunnel
方式伪造和包装的通讯;
情况下,探测引擎仍然会将检测到的攻击行为
在探测器本地保存,等到网络恢复正常自动的
同步到控制台或日志数据库。不会出现网络断
开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
报表系统可以自动生成各种形式的攻击统计和
流量统计报表报表,形式包括日报表,月报表,
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容;
用信息安全产品认证》;
百兆入侵检测系统
编号
项目
1
机种
2
监听口/数量
3
语言支持要求
4
入侵检测能力
要求
备注
百兆机架式硬件设备;
*
10/100Base-TX,总数≥2;
支持全中文的操作界面以及中文详细的解决方 *
案报告
支持深度协议识别,能够监测基于 Smart Tunnel 方式伪造和包装的通讯; 支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分 析等多种分析方式,以直观、清晰的方式从总 体上分析网络上发生的各种事件,为管理人员 提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
7. 日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将检测到的攻击行为 在探测器本地保存,等到网络恢复正常自动的 同步到控制台或日志数据库。不会出现网络断 开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
足即为废标。
5
性能要求
6、 管理能力
支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式;
在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等) 每秒并发 TCP 会话数≥100000; 最大并发 TCP 会话数≥200000; 最大包捕获和处理能力≥200Mb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接;