入侵检测系统
SafePro Intrusion Detection System
Safepro 入侵检测系统是由北京爱迪安网络技术有限公司自主研发的入侵检测系统(IDS--Intrution Detection System),它可以全天候地监测和分析流经网络和主机的数据流,及时发现入侵企图,在最大限度上保护主机及网络的安全。 |
| Safepro 入侵检测系统采用基于协议分析的智能匹配算法,结合状态检测技术,可以成功的将各种攻击一一捕获。除了能够准确完成入侵检测工作之外,系统本身也采取严密的安全机制,以防止攻击者针对系统本身的种种攻击和欺骗行为。 |
| Safepro 入侵检测系统为用户提供了非常便捷的管理模式,用户在工作位上就可以完成对系统的所有管理和配置工作。同时,系统提供了非常人性化的管理界面,用户可以通过管理界面从控制中心获得详尽的报表支持,报表中含有丰富的信息,不但有报警信息和攻击分析,还包含了针对每一条攻击的解决方法。 |
| |
| Safepro 入侵检测系统技术原理 |
| 基于协议分析的智能匹配技术 |
模式匹配技术是基于每一种攻击方式都具有一定特征的理论之上形成的,IDS将这些攻击特征描述成一种种模式,形成攻击模式库,然后以此为依据对每一个流经的数据包进行匹配,一旦特征吻合,即认为当前行为是一种攻击行为,系统会马上采取响应措施。
传统的模式匹配都是将数据包与每一条检测规则匹配,这样做明显的会提高系统的资源耗费率,对自身的检测速度也会造成很大的影响。
Safepro 入侵检测系统则是采用了更先进的匹配技术--基于协议分析的智能匹配算法:首先对于收到的数据包进行协议解析,根据解析结果,将数据包"分流"到不同的检测方法集,检测方法集再根据包结构及内容自动调节检测方式(必要时会进行二次检测)。这种匹配算法有效减小目标的匹配范围,提高了检测速度,同时也使系统对攻击检测更加准确。
模式匹配运作流程图见右图。
模式匹配技术可以准确、及时的发现各种攻击企图,但它也存在缺点,即:无法检测出未知的攻击方式。 |
 | |
| 状态检测技术 |
通常情况下,IDS系统只是利用模式匹配技术对数据包进行检测。这就使得许多更为隐蔽的攻击方式(如:碎片攻击等)存在成功的可能。
为了避免以上情况,Safepro 入侵检测系统采用了状态检测技术:系统在对每个数据包进行检测的同时,还会将数据包所含的请求以及与目的主机的连接情况记录下来,形成状态列表,进行实时的监控,一旦状态列表发生变化,系统就会确认这种连接存在危险性,会即时采取相应的安全措施。
状态检测运作流程图见右图。
状态检测技术不仅可以更精准的检测出已知的攻击方式,对不可预测的攻击也具备很强的捕获能力。它使Safepro 入侵检测系统开始向智能化的方向发展。 |
 | |
| |
| Safepro 入侵检测系统攻击检测能力 |
| 迄今为止,Safepro 入侵检测系统可以检测将近20大类、800多种攻击方法。 |
| 类型 |
攻击方法的识别能力 |
数量 |
| 扫描工具 |
PORT SCAN;TWWW SCAN…. |
11 |
| HTTP&CGI |
FLOOD攻击;缓冲区溢出;解码漏洞;非法访问;恶意脚本;拒绝服务;数据库配置漏洞…. |
454 |
| FTP |
可防御近50种变形攻击。包括:缓冲区溢出;拒绝服务;超出路径访问…. |
32 |
| DDOS |
SYNFLOOD;IP FARGMENT攻击…. |
12 |
| DNS |
DNS-SPOOF;劫持序列号;DNS FLOOD…. |
6 |
| TELNET |
缓冲溢出;超出路径访问;特权用户限制访问;拒绝服务…. |
21 |
| SMTP&POP3 |
著名的WIZ漏洞;IMAIL8.0的拒绝服务漏洞…. |
25 |
| RPC |
RPC,RPC.STATD远程缓冲区溢出;畸形RPC请求…. |
11 |
| NETBIOS |
空源主机名;匿名连接;拒绝服务…. |
10 |
| ICMP |
OOB攻击;ICMP包空字节;ICMP洪流放大…. |
18 |
| FINGER |
SUNOS 可获取用户名漏洞;FINGER缓冲溢出;本地提升权限…. |
6 |
| OTHERS |
|
258 | |
| |
| 可供配置的安全策略 |
| ADRACCESS |
| NETCFG |
| ATTACKCFG |
| FTP.RULE |
| TELNET.RULE |
| RLOGIN.RULE |
| SNMP.RULE |
| NFS.RULE |
| HTTP.RULE |
| RWHO.RULE |
| RSH.RULE |
| |
| 入侵检测系统的主要功能 |
实时网络数据流跟踪
本系统运行于有敏感数据需要保护的网络上,通过实时监视网络上的数据流,分析网络通讯会话轨迹。 |
网络攻击模式识别
系统内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯会话轨迹,寻找网络攻击模式。 |
网络安全违规活动捕获
系统能够根据用户自定义的网络安全策略对网络活动进行检查,捕获网络安全违规活动。 |
网络安全事件实时报警
系统能够根据所发生的网络安全事件,以不同的事件等级产生控制中心实时报警。 |
网络安全事件的自动响应
系统能够自动响应网络安全事件,包括记录网络事件发生的日期和时间,事件的源与目的地址,实时阻断非法连接等。 | |
| |
| Safepro 入侵检测系统产品特点: |
| 实时的入侵检测和事件响应系统 |
| 系统全天候的运行在被保护主机和网络上,进行攻击检测,当发现异常情况时,自动采取响应措施,无需任何手工操作。 | |
| 全面的攻击模式库和违规模式库 |
| 攻击模式库内几乎容纳了所有已知的攻击模式,违规模式库则包含了内网范围内的网络违规操作模式。并且,这些知识库会随着攻击方式的变化不断增加和更新。 | |
| 强大的检测能力 |
| 智能化的状态检测技术和先进的模式匹配技术使系统无论是对已知的还是不可预测的攻击都具有强大的检测能力。 | |
| 完善的报警机制 |
| 系统能够根据所发生的网络安全事件,以不同的事件等级产生控制中心实时报警。用户还可以根据自身实际情况自定义事件级别以及报警方式。 | |
| 安全事件的自动响应 |
| 系统能够自动响应网络安全事件,包括记录日志(事件发生的日期和时间,事件的源与目的地址、攻击类型等)、报警、提供相应的解决方法、阻断非法连接等。 | |
| 大容量的数据存储能力 |
| 后台运行的大型数据库为检测过程衍生的大量数据提供了一个安全、的存储平台。 | |
| 加密的通讯机制 |
| 系统内置的128位强加密算法,可以保证控制台与探测器之间进行安全通信。 | |
| 灵活、安全的管理模式 |
管理模式基于B/S架构,管理员在工作位上就可以实现对系统的管理、配置工作。
控制台登陆模式采取三级结构,保证系统不会被滥用。 | |
日期:2003-6-14 23:44:55
IE不断爆出漏洞,使用FireFox浏览器,会更安全一些: