IDS产品技术白皮书

UnisIDS技术白皮书

1UnisIDS 简介

1.1入侵检测系统概述

1.1.1入侵检测系统分类

不同于防止只针对具备一定条件入侵者进入的防火墙，入侵检测系统(IDS ，Intrusion Detection System)可以在系统内部定义各种hacking手段，进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”，那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。

基于网络的入侵检测系统具有如下特点：

通过分析网络上的数据包进行入侵检测

入侵者难以消除入侵痕迹–监视资料将保存这些信息

可以较早检测到通过网络的入侵

可以检测到多种类型的入侵

扫描–利用各种协议的脆弱点

拒绝服务攻击–利用各种协议的脆弱点

hacking代码规则匹配–识别各种服务命令

可灵活运用为其他用途

检测/防止错误网络活动

分析、监控网络流量

防止机密资料的流失

图 1网络入侵检测模型

而基于主机的入侵检测系统则具有以下的特点

具有系统日志或者系统呼叫的功能

可识别入侵成功与否

可以跟踪、监视系统内部行为

检测系统缓冲区溢出

基于主机的入侵检测可以区分为

基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)

基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)

而清华紫光推出的UnisIDS入侵检测系统，实现了基于主机检测功能和基于网络检测功能的无缝集成，UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析，一旦发现可疑的入侵行为和异常数据包，立即报警并做出相应的响应，使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用，从而最大程度的降低系统安全风险，有效的保护系统的资源和数据。

1.1.2入侵检测系统技术组成因素

如图 2所示入侵检测系统的处理过程分为数据采集阶段，数据处理及过滤阶段，入侵分析及检测阶段，报告以及响应阶段等 4 阶段。

图 2入侵检测的技术组成因素

数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。

数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。

分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的，可以区分为异常行为和错误使用检测。

报告及响应阶段针对上一个阶段中进行的判断作出响应。如果被判断为发生入侵，系统将对其采取相应地响应措施，或者通知管理人员发生入侵以便于采取措施。最近人们对入侵检测以及响应的要求日益增加，特别是对其跟踪功能的要求越来越强烈。

1.1.3入侵检测/响应流程图

图 3入侵检测/响应流程图

如上图，网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应，响应的形式可以是多种多样的。如果一个会话匹配Network Agent的规则，则作出相应的入侵响应。

1.2UnisIDS的特点

1.2.1UnisIDS的特点

UnisIDS针对INTERNET或者INTRANET的安全威胁因素，提供各种详尽的检测及响应机制，从而提高整个网络资源的安全性能。在不影响网络性能的情况下，通过简单的设置来有效地增强系统的安全性。

UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎Network Agent 和基于主机的入侵检测引擎Host Agent（即将推出）三个模块，用户可根据需要选用相应的模块。

Admin（管理中心）是UnisIDS的管理中心，提供友好的用户界面，通过对配置和策略的管理集中控制引擎的工作，对网络和服务器的状态进行实时监视，并可以生成各种统计报表。

基于MicroSoft Win2000的管理平台

集中管理和配置多个远程的Network Agent 和Host Agent

存储Network Agent 和Host Agent发送的数据

接收Network Agent 和Host Agent发来的实时警报

支持常用 DB

提高了报表处理能力（Crystal Report）

支持在线升级

详尽的帮助 (支持在线帮助)

Network Agent（网络引擎）通过对网络数据包的实时分析得到的，它可以检测各种不同类型的攻击，包括扫描、拒绝服务等。

通过分析网络上的数据包进行入侵检测

入侵者难以消除入侵痕迹–可以用于监视资料

可以较早检测到通过网络的入侵

可以检测到多种类型的入侵

扫描–利用各种协议的脆弱点

服务拒绝攻击–利用各种协议的脆弱点

攻击代码规则匹配–识别各种服务命令

可灵活运用为其它用途

检测/防止网络错误活动

分析、监控网络流量

防止机密资料的流失

多种入侵响应

向管理中心发警告消息

向安全管理员发Email

记录事件日志和整个会话

截断入侵连接

Host Agent（主机引擎）通过对系统资源、进程、日志等的实时监视，发现可疑的入侵行为并做相应的分析和验证，保证系统数据的完整性。

可识别入侵成功与否

可以跟踪、监视系统内部行为

检测系统缓冲区溢出

基于主机的入侵检测可以区分为

基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)

基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)

入侵响应

向管理中心发警告消息

向安全管理员发Email

杀死进程、父进程、进程组或进程对话

锁定用户帐号、终止系统、禁止网络访问

记录事件日志和整个会话

1)便利性和实用性

UnisIDS软件包对于管理者来说是使用方便、实用且有效的信息安全工具。它具有如下功能：

提供方便且友好的用户界面

响应方法便于自主选择

识别大范围的地址

监视网络流量

监测各种类型的信息包