瑞星入侵检测系统RIDS-100解决方案

2006-10-25　网友评论 0 条　点击进入论坛

　　产品概述

　　RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品，它集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使得管理员能够及时采取应对措施，另外RIDS-100入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。

　　RIDS-100 入侵检测引擎具有在线升级功能，用户通过管理控制台从瑞星网站升级，也可以将升级包放在管理控制台所在的主机上，从本地完成升级，升级包括攻击特征库、策略数据库、RIDS-100检测引擎的更新三部分。

　　检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流量和请求均不做反应，不影响被保护网络的性能。

　　主要技术特点

　　RIDS-100入侵检测系统的目标是：全面，准确，高效，稳定，安全，快速。全面是指能检测已知的各种攻击方法，并能对未知的攻击行为具有一定的判断能力；准确是指检测的结果准确，误报率低；高效是指检测引擎的运行效率高，由于现在的网络速度越来越快，只有高效的引擎才能在检测时不丢包；稳定是指系统运行稳定可靠；安全是指入侵检测系统自身的安全，由于引擎中保存了大量检测到的敏感信息，因此对其自身的保护是十分重要的；快速是指对新的漏洞和新的攻击方法反应快，系统升级简便。

　　RIDS-100入侵检测系统采用软硬件一体化设计，主要技术特点有：

　　1、高效的网络虚拟机技术

　　网络虚拟机在分析网络数据时，进行完整的数据重组，恢复技术，把网络连接作为数据流分析，而不是一个个孤立的数据包。采用IP分片重组和TCP会话状态维护技术，不但可以检测利用IP分片的攻击，还可以真实、完整地监测整个TCP会话过程，对TCP会话的各数据包进行关联性分析，从而确保了检测的准确性。对网络攻击识别准确，效率高。

　　2、特征检测法和统计分析法的有机地结合

　　将基于特征的检测法和基于行为的统计分析法有机地结合，能实时检测5大类1300多种已知攻击，基本涵盖了现有的各种攻击方法，并通过总结网络攻击的规律，采用行为判断方法，建立了智能化分析模块，使其具有一定的对未知攻击和可疑活动的识别能力。

　　3、对协议的分析检测

　　实现了对协议的分析检测，提高了系统对未知攻击的分析能力。网络攻击之所以猖獗，与网络协议中的各种安全漏洞密切相关，通过对标准协议中的非正常流量进行分析，可以有效识别利用这些协议中的安全漏洞所作的攻击。RIDS-100实现了对HTTP、FTP、telnet、SMTP等高层协议的分析检测。

　　4、简便易用的管理控制台

　　通过RIDS-100管理控制台，管理员根据自己的需求，定制检测的范围和以警的方式，实时监控网络运行状态。

　　5、采用模块化设计结构，易于升级和维护

　　入侵检测引擎采用模块化的设计结构，各功能模块担负着一定的作用。这种模块化设计易于引擎进行升级。例如：当有新的攻击出现时，只需对攻击特征库进行更新；对新的协议检测，只需增加相应的新的功能模块即可。

　　6、分布式检测、集中式管理

　　用户可以根据自己的需要，在需要保护的网络中安放多台入侵检测引擎，用一个控制台从远程进行集中式管理，利于全网安全策略的统一。

　　7、多样的攻击响应方式

　　 RIDS-100系统具备实时报警，声音报警，记录到数据库，电子邮件报警，切断攻击连接，以及和防火墙联动等多种响应方式，便于管理员快速准确的对攻击做出反应。

　　全面的内容恢复，支持多种常用协议

　　8、具有强大的自身保护能力

　　入侵检测系统作为安全产品，经常会成为黑客攻击的重点目标，因此其自身的安全是十分重要的，RIDS-100入侵检测系统采用了多种自我保护手段：

　　完善的用户访问控制机制和管理信息的加密传输。系统建立了完善的用户认证机制，为管理员配备了专用的电子钥匙，只有经过密码强认证的用户才有权登录系统；控制台和入侵检测引擎之间的信息采用加密传输，防止敏感信息的泄露。

　　详尽的系统审记日志。该系统提供了对自身的详细审计功能。

　　对外的隐身性。该系统将管理口与监听口分离，监听口不带IP地址，当把管理口接在内网时，攻击者无法从外网探测到入侵检测系统的存在。

　　完善的磁盘空间管理。系统的磁盘空间是有限的，必须有一定的机制，保证系统始终有足够的空间维持正常运行。RIDS-100入侵检测系统设计了完善、灵活的磁盘空间管理机制，可以用时间和空间双重因素控制磁盘空间的配额。

　　RIDS-100入侵检测系统采用客户/服务器结构,是一套基于网络的分布式入侵检测系统，它主要由入侵检测引擎和管理控制台组成，还包括一个客户端的报警器程序。

　　一、入侵检测引擎

　　入侵检测引擎为专用硬件设备，可以安装在标准的机架上，一个检测引擎可以保护一个网段。

　　检测引擎有三个以太网接口：分别为数据捕获口、查询管理口、防火墙联动口。

　　1、数据捕获口

　　检测引擎的数据捕获口接在被保护网段上，它以隐身模式从网络线路上获取数据，然后调用相应的处理模块进行分析处理，如果发现异常事件，则调用报警器，由其根据预定义的处理规则，决定调用相应的响应模块。响应模块可以采取多种手段向系统管理员或被攻击主机报警，也可以向防火墙发送消息，通知防火墙作出相应的响应。

　　2、查询管理口

　　查询管理口接在管理主机可以访问的网络上，它是管理控制台和引擎进行通信的接口。

　　3、防火墙联动口

　　防火墙联动口是RIDS-100引擎和防火墙通信的接口，通过直联线与瑞星防火墙连接，当管理界面配置了RIDS-100和瑞星防火墙联动时，RIDS-100发现网络中有攻击行为时，向防火墙发送报警信息，由防火墙采取措施。

　　二、管理控制台

　　管理控制台是对RIDS-100引擎进行配置、升级、管理和数据查询的客户端程序，它安装在内网的管理员主机（Windows 2000/NT操作系统）上。一个管理控制台可以管理一个或多个检测引擎。管理控制台对RIDS-100 进行策略配置，系统管理、磁盘空间管理，显示攻击事件的详细信息和解决对策。分析网络运行状况，并可产生图形或报表输出，各户通过管理控制台对网络的当前和历史状况一目了然。管理控制台界面操作简便。

　　此外，为了加强对引擎进行访问的用户的管理，RIDS-100系统设计了一套完善的用户管理机制，每个管理用户配有一把电子钥匙（串口或USB接口），内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。

　　三、实时报警器

　　RIDS-100提供了一个WINDOWS客户端的报警器程序，它直接接收RIDS-100引擎发送的报警信息，通过声音和报警灯的闪烁提醒用户。

　　典型应用方案

　　一、监听、检测发生在内网之间的连接和攻击

图1 监听、检测内网中发生的所有连接和攻击时引擎的安装方式

　　二、监听、检测外网对内网的攻击

图2 用于监听、检测外网对内网所做的攻击时引擎的安装方式

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表