一.简要介绍
入侵检测系统在网络安全防护体系中的重要意义已经得到越来越多的重视,但是因为技术原因,并不是所有入侵检测产品都能满足用户真正的安全需求。误报、漏报、缺乏数据的有效整理及统计等各种问题都会困扰那些忙于应对的网管人员,而缺乏有效的阻断手段也使得不少入侵检测系统形同虚设,任由攻击者来去自如。
“冰之眼”网络入侵检测系统秉承绿盟科技一贯的专业精神,以领先的技术驾驭产品,为用户带来真正可靠的安全保障。
今天,越来越多的蠕虫、病毒、木马和黑客成功突破了防火墙的保护,很明显,我们需要网络入侵检测系统。绿盟科技冰之眼网络入侵检测系统能够协助您:
*检测来自数千种蠕虫、病毒、木马和黑客的威胁。
*检测来自拒绝服务攻击的威胁。
*检测您的网络因为各种IMS(实时消息系统)、网络在线游戏导致的企业资源滥用。
*检测P2P应用可能导致的企业重要机密信息泄漏和可能引发与版权相关的法律问题。
*保障您的电子商务或电子政务系统24x7不间断运行。
*提高企业整体的网络安全水平。
*降低企业整体的安全费用以及对于网络安全领域人才的需求。
*迅速定位网络故障,提高网络稳定运行时间。
二.先进的产品架构
冰之眼入侵检测系统由网络探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL日志数据库系统及绿盟科技中央升级站点几部分组成。相互关系如下图所示:
|
网络探测器
|
 | |
|
SSL传输通道 | |
|
|
|
|
| ||||||
|
|
| ||||||
 升级服务器 update.nsfocus.com |
|
三.产品特性
入侵检测系统最核心的要求就是准确地检测入侵事件,并采取有效措施进行防护和干预。由于技术原因以及欺骗性攻击技术的不断发展,漏报和误报一直是困扰入侵检测领域的两大难题。绿盟科技集中了业内最优秀的安全专家,在对各种攻击手段进行充分的研究后,总结出一套行之有效的检测手段,误报率、漏报率均远远低于国内外同类产品,并得到了权威机构的评测认可。
覆盖广泛的攻击特征库
冰之眼入侵检测系统携带了超过1800条经过仔细检测与时间考验的攻击特征,由著名的NSFocus安全小组精心提炼而成。针对每个攻击均附有详细描述和解决办法,对应NSFocus ID、CVE ID、Bugtraq ID,管理员直接点击里面的安全补丁URL连接可以直接将系统升级到最新版本,免除遭受第二波的攻击。
IP碎片重组与TCP流汇聚
冰之眼入侵检测系统具有完美的IP碎片重组与TCP流汇聚能力,能够检测到黑客采用任意分片方式进行的攻击。
协议识别
冰之眼入侵检测系统能够准确识别超过100种的应用层协议、木马、后门、P2P应用、IMS系统、网络在线游戏等。
协议分析
冰之眼入侵检测系统深入分析了接近100种的应用层协议,包括HTTP、FTP、SMTP......
攻击结果判定
冰之眼入侵检测系统能够准确判断包括扫描、溢出在内的绝大多数攻击行为的最终结果。
协议异常检测
冰之眼入侵检测系统具备了强有力的协议异常分析引擎,能够准确发现几乎100%的未知溢出攻击与0-day Exploit。
拒绝服务检测
冰之眼入侵检测系统采用绿盟科技的 Collapsar™专利技术,能够准确检测SYN Flood、ICMP Flood、Connection Flood、Null Stream Flood等多种拒绝服务攻击。配合绿盟科技的Collapsar™产品,能够进行有效的防御保护。
GIGAbit线速(Wire-Speed)
冰之眼入侵检测系统在全部检测功能、全部规则集打开的情况下具有GIGAbit线速的分析能力。
多监听口
冰之眼入侵检测系统根据型号可以配置多个硬件监听口。监听口完全支持即插即用,用户在增加监听的网段时,只需购买独立的硬件监听模块插上即可完成升级,而不需要购买单独的探测器引擎,极大地保障了用户的投资,降低了使用维护成本。
冰之眼入侵检测系统与绿盟科技的Collapsar™产品联动能够最大限度地保护您的网络免除拒绝服务带来的危害。
TCP Killer
冰之眼入侵检测系统能够实时地切断基于TCP协议的攻击行为。
防火墙阻断
冰之眼入侵检测系统可以与超过10种的防火墙产品进行联动阻断入侵者。如Checkpoint FW-1、Netscreen、天网、天融信、卫士通龙马等。
多层分布式集中监控
冰之眼控制台能够灵活部署在网络的任意节点,控制台支持任意层次级联部署与分布式部署。强有力的集中监控体系提供给管理员统管全局的能力,配合冰之眼新一代的探测引擎,管理员可以在最短的时间内对于入侵风险做出最快速的反应。
多样化日志分类
实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。冰之眼控制台可以按多种标准动态地切换告警日志的分类。包括:攻击结果(成功-失败-可疑)、高中低风险、服务、攻击流行程度、攻击采用的技术手段、攻击源-目的-事件名称、攻击时间等。对于每条攻击日志可按事先的定义以不同的颜色高亮显示。
灵活的事件过滤系统
规则驱动的冰之眼事件过滤系统支持采用多种粒度过滤探测器所产生的告警日志,当前支持:攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等。管理员可以制定基于时间的攻击检测规则。如:控制探测器仅仅检测凌晨2~5点发生的失败的属于FTP协议的攻击事件。灵活的运用此功能,可以控制冰之眼系统仅仅记录管理员关心的攻击告警事件,极大地减小了攻击告警的数量,降低了管理员的工作强度,提高了对于高风险攻击的反应速度。
攻击取样与取证
异常检测技术的发展成熟使得检测未知的攻击成为可能。由于未知攻击的特点,NIDS事先没有其对应的详细描述与漏洞修复方法。冰之眼系统对于未知攻击自动的提取其样本(包括攻击现场与攻击原始报文),NSFocus安全小组会在最短的时间内分析提取特征,提供详细的解决办法。同时,由于攻击样本的保存,使得调查取证成为可能。原始的攻击样本可以提交作为法律证物。同时,冰之眼具有如下特性使得管理员可以迅速定位入侵者位置:
(1)自动解析入侵者机器名/域名。
(2)自动获得入侵者所使用的机器型号。
如:来源:192.168.5.20 jingdg (Dell Computer Corp.)
网络流量监控
冰之眼探测器实时统计了当前网络中的各种报文流量发送到控制台,包括:当前协议分布图、总PPS、总BPS、TCP会话数等。管理员通过观察这些实时数据,可以判断当前网络运行状况是否良好。
基于XML的开放式联动协议
冰之眼系统提供了Open Source的基于XML的开放式联动接口,任何安全产品可以基于此接口接收冰之眼系统的攻击告警。当前支持Windows系列、Linux系列、*BSD系列、SUN OS系列。
协议回放
冰之眼系统支持记录网络的通信报文,并解码回放。目前支持HTTP、SMTP、FTP、Telnet、POP3协议。
用户自定义规则
冰之眼控制台提供了强大的用户自定义规则系统,用户可以定义几乎所有的协议字段,并支持正则表达式。
攻击描述与修复方法
绿盟科技著名的NSFocus安全小组提供了对于每个攻击漏洞的详细描述,同时对应NSFocus ID、CVE ID、Bugtraq ID,并提供了详细的修复方法及补丁下载地址。管理员在帮助页面内即可完成对于系统的补丁下载与升级,极大地提高了对于攻击的响应速度。
冰之眼入侵检测系统的漏洞攻击信息已经通过严格的CVE兼容性认证,是国内屈指可数的通过此认证的入侵检测产品,绿盟科技被授权使用如下的CVE兼容性认证标志:
报表
冰之眼控制台提供了详细、综合报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。
零管理
从实时升级系统到报表系统,从攻击告警到日志备份,冰之眼入侵检测系统完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行,极大地降低了维护费用与管理员的工作强度。
离线关联分析与归并
区别于探测器进行的实时的关联分析与归并,离线关联分析能够发现某些较长时间范围内的攻击特征。离线归并能够减少攻击告警的数量,提高管理员对于攻击的响应速度。
日志备份与恢复
冰之眼日志系统支持定时自动日志备份与清除,完全不需要管理员的参与,极大地减少了管理员的工作量。
XML支持
日志支持XML格式导出以便进行二次分析。
支持Microsoft SQLServer2000系列大型数据库(包括对应的MSDE产品)
实时在线升级
冰之眼入侵检测系统所有部件包括攻击规则库与探测器引擎均可实时自动在线升级。NSFocus安全小组24小时不间断地跟踪最新的安全信息,在第一时间提炼出攻击特征加入冰之眼规则库中。
升级方式
冰之眼入侵检测系统支持实时控制台在线升级、SSH远程升级。
更新周期
绿盟科技承诺:日常升级至少每7天一次,重大安全问题升级在全球首次发现后三个工作日内完成。
多权限多用户
冰之眼控制台身份验证系统采用独立于操作系统的多权限多用户系统。管理权限与审计权限独立,支持生成审计报表。
SSL传输
冰之眼探测引擎与控制台间采用强加密的SSL加密传输告警日志与控制命令。完全避免了可能存在的嗅探行为。
第三方软件
在冰之眼系统中使用了部分第三方软件,如Microsoft SQL Serv-er2000系列。这些软件系统可能引入新的安全隐患。冰之眼软件光盘中附带了这些第三方软件的最新安全升级补丁,可以避免因此导致的安全隐患。
四.产品型号
|
200系列 |
600系列 |
1200系列 |
1600系列 | |
|
应用环境 |
10/100M共享 /交换网络 |
100M高速交 换网络 |
100/1000M 交换网络 |
1000M高速 交换网络 |
|
类型 |
硬件设备 |
硬件设备 |
硬件设备 |
硬件设备 |
|
网络接口 |
10/100(Base- TX) |
100 (Base-TX) |
多模、单模 光纤、 10/100/1000 Base-TX |
多模、单模 光纤、 10/100/1000 Base-TX |
|
探测器管理方式 |
控制台,RS-232, SSH | |||
|
存取方式 |
32M(引擎)+128M Flash Disk (日志缓存,可改为80G硬盘) | |||
|
硬件配置 |
X86 1.7GMHz 512MB DDR |
X86 2.0GMHz 1GB DDR |
X86 Dual 2.2GHz 1GB DDR |
X86 Dual 2.4GHz 2GB DDR |
|
热备 |
双监听口或TAP方式 | |||
|
宽x深x高 |
432x472x44 毫米(1U) |
432x472x44 毫米(1U) |
432x944x88 毫米(2U) |
432x944x88 毫米(2U) |
|
平均无故障时间 (MTBF) |
超过100,000小时 | |||
|
执行辐射标准 |
Class A,EN55022,FCC Part15 | |||
|
运行环境 |
0-40摄氏度,5%-95% 非凝露,海拔5,000米 | |||
|
加密协议 |
SSLv3 | |||
|
安全算法 |
3DES+RSA | |||
|
电源 |
100-250V 50-60HZ 300W |
100-250V 50-60HZ 350W |
100-250V 50-60HZ 400W |
100-250V 50-60HZ 400W |
|
重量 |
7.0千克 | 10.0千克 | 25.0千克 | 25.0千克 |
|
监听口数目 |
最大: (Base-TX)x3 |
最大: 10/100M (Base-TX)x3 |
最大: 100/1000M (Base-TX) 或1000M (FDDI)x 4 |
最大: 100/1000M (Base-TX) 或1000M (FDDI)x 4 |
|
销售许可 |
国家信息安全认证、公安部销售许可证、保密局涉密产品认证、解放军评测认证 | |||
|
802.1q支持 |
Y | |||
|
MPLS支持 |
Y | |||
|
每秒并发TCP会 话数 |
超过100,000 | 超过150,000 | 超过500,000 | 超过 1,000,000 |
|
最大处理能力 |
200Mb | 600Mb | 1.2Gb | 2.0Gb |
|
规则数 |
超过1800条 | |||
|
支持动作类型 |
Collapsar、Email、自定义、打印机、TCPKiller、 SNMP Trap(v1/v2/v3支持) | |||
|
联动防火墙 |
Checkpoint FW-1、Netscreen、龙马卫士通、天融信、 天网以及所有支持Telnet远程管理的网络防火墙、所 有支持绿盟联动协议的防火墙、交换机 | |||
|
日志数据库 |
Microsoft SQL Server2000系列(包括MSDE) | |||
|
升级方式 |
实时在线升级、定时自动在线升级、离线升级 | |||
|
回放协议 |
FTP、HTTP、Telnet、SMTP、POP3 | |||
|
协议识别数量 |
超过100种 | |||
|
分析协议数 |
近100种应用层协议 | |||
|
分析协议列表 |
Echo、discard、systat、daytime、netstat、qotd、 chargen、ftp、ssh、telnet、smtp、whois、dns、tftp、 gopher、finger、http、linuxconf、ping、pop2、pop3、 sunrpc、auth、uucp、nntp、ntp、netbios-ns、 netbios-dgm、netbios-ssn、imap2、snmp、irc、smb、 rcp、rlogin、rexec、rsh、who、syslog、printer、talk、 wins、mssql-s、mssql-m、pptp、cvs、x11、netBus、 subseven、backorifice、oracle、socks、snmptrap、 router、ping、qq、qq-club、msn、yahoo pager、 dcerpc、mount、igmp、ypbind、yppasswd、portmap、 icq、冰河、网易泡泡...... | |||
|
攻击结果判定 技术 |
支持 | |||
|
流量流计与分 析技术 |
支持 | |||
五.部署方式
冰之眼探测器需要捕获所有进出的网络报文。可通过设置交换机的监听口达到此目的。值得注意的是某些老的交换机型号不支持设置监听口,购买时请先确定。需要监听多个网段时,将多个网段分别接到不同的探测器监听口上即可。
六.近期获得奖项
2005年1月19日绿盟科技冰之眼入侵检测系统获得:
“2004计算机世界年度产品”奖。
2005年1月17日绿盟科技冰之眼入侵检测系统荣获:
《中国计算机报》2004-2005年度编辑选择奖。
2004年12月30日绿盟科技冰之眼入侵检测系统获得:
中国信息安全产品测评认证中心颁发的国内最高安全产品等级EAL3级证书。
2004年12月17日绿盟科技冰之眼入侵检测系统获得:
赛迪评测颁发的2004年度IDS千兆产品精品大奖。
七. 应用
金融
中国人民银行 中国农业银行 华夏银行
湘财证券 金通证券 中国人民保险公司 安联大众
电信
北京移动 北京电信 云南移动 四川移动 山东移动
广东移动 河北移动 贵州移动 上海电信 天津联通
广东联通 湖南电信 甘肃电信 内蒙古移动
政府机构
海关总署 民政部 财政部 国家工商总局 公安部
中国科学院 国家质量监督检验检疫总局 湖南国税
天津国税 辽宁民政 重庆社保 新华社
能源与企业
甘肃电力 辽宁电力 福建电力 东北电力 青海电力
四川电力 大庆油田 胜利油田 重庆长安 用友软件
中海油
ICP
人民网 首都在线 盛大网络 中国日报
2005年9月,冰之眼网络入侵检测系统(V3.0)获得国家信息安全认证产品型号证书。
"冰之眼" 网络入侵检测系统通过公安部鉴定
“冰之眼”入侵检测系统获得软件产品登记证书
“冰之眼”入侵检测系统获V3.0软件著作权登记证书
“冰之眼”入侵检测系统获赛迪评测“技术特色”奖
“冰之眼”入侵检测系统获得2002年度中国计算机用户协会信息安全分会颁发的“用户推荐产品”证书
绿盟科技“冰之眼”NIDS荣获“赛迪评测2002年年度精品奖”
绿盟科技“冰之眼”NIDS荣获《计算机安全》2003年“用户推荐的入侵检测系统产品证书”
绿盟科技“冰之眼”NIDS荣获《计算机安全》2004年“用户推荐的入侵检测系统产品证书”
冰之眼入侵检测系统荣获2004中国网络技术与产品调查最佳IDS品牌奖
冰之眼入侵检测系统荣获赛迪评测2004年年度精品奖
冰之眼入侵检测系统荣获《计算机世界》2004年年度产品奖
冰之眼入侵检测系统荣获赛迪评测工程师推荐奖
冰之眼入侵检测系统荣获《中国计算机报》2004-2005年年度编辑选择奖
网管员最喜爱的IDS/IPS产品奖