入侵检测系统技术白皮书

一、概述 (1)

1.什么是入侵检测 (1)

2.为什么需要使用入侵检测系统 (1)

2.1. 防火墙的局限性 (1)

2.2. 入侵检测系统的作用 (2)

2.3. 入侵检测系统的主要类型 (2)

3.入侵检测系统和防火墙的配合使用 (3)

二、 RIDS-100入侵检测系统 (3)

1.系统结构 (4)

1.1. 入侵检测引擎 (4)

1.2. 管理控制台 (5)

2.主要功能 (6)

2.1. 网络监控和统计 (6)

2.2. 入侵检测和报警 (7)

3.主要技术特点 (10)

4.典型应用方案 (12)

4.1.监听、检测发生在内网之间的连接和攻击 (12)

4.2.监听、检测外网对内网的攻击 (13)

i

一、 概述

1. 什么是入侵检测

入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。入侵检测系统（IDS）就是自动执行这种监视和分析过程的软件或硬件产品。

2. 为什么需要使用入侵检测系统

随着计算机网络的飞速发展，社会的信息化程度不断提高，网络在带来巨大的经济效益和社会效益的同时，也面临着日益严重的安全问题。对计算机网络的最大威胁是计算机病毒与黑客攻击，2001年，计算机病毒与黑客攻击在全世界造成的经济损失高达数百亿美元。

2.1.

2.2. 防火墙的局限性

防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一的防护手段已不能确保网络的安全，它存在以下的弱点和不足：

1）防火墙无法阻止内部人员所做的攻击

防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力，而据调查，网络攻击事件有60%以上是由内部人员所为。

2）防火墙对信息流的控制缺乏灵活性

防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。

如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过于宽松，则又

带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。

3）在攻击发生后，利用防火墙保存的信息难以调查和取证

在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻击并

保存相关的信息。

为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵检测系统就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。需要说明的是，虽然目前很多防火墙都集成有入侵检测模块，但由于技术和性能上的限制，它们通常只能检测少数几种简单的攻击，无法与专业的入侵检测系统相比。专业入侵检测系统所具有的实时性、动态检测和主动防御等特点，1

弥补了防火墙等静态防御工具的不足。

2.3.

2.4. 入侵检测系统的作用

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用：

1）通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；

2）检测其它安全措施未能阻止的攻击或安全违规行为；

3）检测黑客在攻击前的探测行为，预先给管理员发出警报；

4）报告计算机系统或网络中存在的安全威胁；

5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；

6）在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

入侵检测系统的主要类型

按数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测。

（1） 基于主机的入侵检测系统

基于主机的入侵检测系统通常是安装在被保护的主机上，主要是对该主机的网络实时连接以及系统审计日志进行分析和检查，当发现可疑行为和安全违规事件时，系统就会向管理员报警，以便采取措施。

（2） 基于网络的入侵检测系统

基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵检测引擎，就可以监视整个网络的运行情况，在黑客攻击造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。

入侵检测系统使用的主要检测方法有基于攻击特征的模式匹配法和基于行为的统计分析法。它们各有优缺点：

2

模式匹配法主要适用于对已知攻击方法的检测，通过分析攻击的原理和过程，提取有关的特征，建立攻击特征库，对截获的数据进行分析和模式匹配，这种方法的优点是识别准确，误报率低，但它对未知的攻击方法却无能为力，并且当新的攻击方法出现时，需要及时更新特征库。

基于行为的统计分析法对未知攻击和可疑活动有一定的识别能力，但误报率高。

现在优秀的入侵检测系统一般都综合运用了上述两种检测方法。

3. 入侵检测系统和防火墙的配合使用

将入侵检测系统与防火墙配合使用，可以极大地提高网络的安全防御能力。

使用入侵检测系统和防火墙共同构建网络安全防护体系有多种组合方法，用户可以根据需要进行选择。

（1）入侵检测引擎放在防火墙之外

在这种情况下，入侵检测系统能接收到防火墙外网口的所有信息，管理员可以清楚地看到所有来自Internet 的攻击，当与防火墙联动时，防火墙可以动态阻断发生攻击的连接。

（2）入侵检测引擎放在防火墙之内

在这种情况下，只有穿透了防火墙的攻击才能被入侵检测系统监听到，管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。如果入侵检测系统检测到了本应该被防火墙过滤掉的攻击，就可以判断防火墙的配置存在失误。

（3）防火墙内外都装有入侵检测引擎

在这种情况下，可以检测来自内部和外部的所有攻击，管理员可以清楚地看出是否有攻击穿透防火墙，对自己网络所面对的安全威胁了如指掌。

（4）将入侵检测引擎安装在其它关键位置

安装在需要重点保护的部位，如企业内部重要服务器所在的子网，对该子网中的所有连接进行监控；

安装在内部两个不同子网之间，监视两个子网之间的所有连接。

根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器（Hub）上、交换机的调试端口（span port）上、或专为监听所增设的分接器（Tap）上。二、 RIDS-100入侵检测系统

RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品，它集入侵3