360入侵检测系统

360入侵检测系统白皮书目录1.产品概述...........................................................................................................................................11.1现今网络面临的难题..........................................................................................................11.2采用的主流入侵检测技术.................................................................................................21.3系统核心引擎运行流程.....................................................................................................42.产品特色...........................................................................................................................................52.1强大的分析检测能力..........................................................................................................52.2全面的检测范围..................................................................................................................52.3超低的误报率和漏报率.....................................................................................................52.4更直观的策略管理结构.....................................................................................................62.5细致详尽的全方位安全可视化.........................................................................................62.6基于全局理念的安全指导指数.........................................................................................63.技术优势...........................................................................................................................................63.1硬件加速包截获技术..........................................................................................................63.2基于状态的协议分析技术.................................................................................................73.3应用层协议分析..................................................................................................................73.4成熟的流检测技术，提升性能和准确性........................................................................73.5深度数据分析......................................................................................................................84.典型应用...........................................................................................................................................85.客户价值...........................................................................................................................................911.产品概述网络安全是一个系统的概念，制定有效的安全策略或方案，是网络信息安全的首要目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。因此通过入侵检测系统（缩写IDS）设备检测网络中是否存在违反安全策略的行为和被攻击的迹象，也成为被人们普遍使用的网络安全产品。入侵检测系统可以说是防火墙系统的合理补充和延伸，并且防火墙相当于第一道安全闸门，而入侵检测系统会在不影响网络部署的前提下，实时、动态地检测来自内部和外部的各种攻击，同时有效地弥补了防火墙所能无法检测到的攻击，进而与防火墙联动达到有效网络安全防护。1.1现今网络面临的难题计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000亿美元以上。随着网络技术的发展，入侵的规模越来越大，入侵的手段与技术也不断发展变化，入侵的发起者和入侵的对象越来越趋于分布化，早期的网络安全产品，例如：防火墙，它作为网络边界的设备，只能抵挡外部来的入侵行为；自身存在的弱点也可能被攻破；对某些攻击保护很弱；即使通过防火墙的保护，合法使用者仍会非法地使用系统，甚至提升自己的权限；进而拒绝非法的连接请求，但是对于入侵者的攻击行为仍是一无所知，因此入侵就会很容易。这时企事业单位的网络安全性也受到了严峻考验：网络上的不法分子不断的寻找网络上的漏洞，企图潜入内部网络，一旦网络被攻破，一些机密的资料可能会被盗、网络可能会被破坏，给网络所属单位带来难以预测的损害。随着网络结构异常复杂，入侵检测系统体系结构也在随着网络安全需求而进化者，因此应用程序辨识、异常流量和攻击行为的检测、深层风险交互查询能力、全方位的系统管理均成为了新型入侵检测系统的标配。21.2采用的主流入侵检测技术模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一，模式匹配技术也称攻击特征检测技术，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法来发现，模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式匹配技术有它自己的好处：比如只需收集相关的数据集合，显著减少系统负担，同时模式匹配技术经过多年发展已经相当成熟，使得检测准确率和效率都相当高，这也是模式匹配技术至今仍然存在并被使用的理由。当然，单纯的模式匹配技术也同样具有明显的不足：如果对整个网络流量进行匹配，计算量非常大，系统有严重的性能问题。只能使用固定的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃避检测。特征库庞大，对攻击信号的真实含义和实际效果没有理解能力，因此，所有的变形都将成为攻击特征库里一个不同的特征，这就是模式匹配系统有一个庞大的特征库的原因所在。因此，模式匹配的这种检测机制决定了它对已知攻击的报警比较准确，局限是它只能发现已知的攻击，对未知的攻击无能为力，而且误报率比较高。最为不足的是对任何企图绕开入侵检测的网络攻击欺骗无能为力，由此会产生大量的虚假报警，以至于淹没了真正的攻击检测。第二种技术是异常行为检测，基于异常检测方法主要来源于这样的思想：任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，通常需要定义为各种行为参数及其阀值的集合，用于描述正常行为范围。而入侵和滥用行为则通常和正常的行为存在严重的差异，通过检查出这些差异就可以检测出入侵。这样，我们就能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为，此外不属于入侵的异常用户行为（滥用自己的权限）也能被检测到。异常检测技术的检测流程：3异常检测技术具有的特点：异常检测系统的效率取决于合法用户行为定义的完备性和监控的频率大小。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。漏报率低，误报率高异常检测技术假定所有入侵行为都是与正常行为不同的，如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。当然要使用异常检测还面临着几个问题：用户的行为有一定规律性，但选择哪些数据来表现这些规律的行为仍然存在一些问题。如何有效表示这些正常行为，使用什么方法反映正常行为，如何能学习到用户的新正常行为存在问题。规律的学习过程时间到底为多少，用户行为的时效性等问题。第三种是协议分析技术，这是目前最先进的检测技术，是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它主要是针对网络攻击行为中攻击者企图躲避IDS的检测，对攻击数据包做一些变形，它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，从而逃避IDS的检测而开发设计的。它最大的特点是将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与规则库进行匹配，因此它能够通过对数据包进行结构化协议分析来识别入侵企图和行为。协议分析大大减少了计算量，即使4在高负载的高速网络上，也能逐个分析所有的数据包。采用协议分析技术的IDS能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻击方法。同时，状态协议分析技术就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中，此时状态协议分析技术就是IDS技术的首选。同时协议分析是根据构造好的算法实现的，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能。