NISDetector系统概要
网络安全监测预警系统(NISD)是基于电子指纹的实时网络自动违规识别和响应系统。它运行于有敏感数据需要保护的网络或服务器主机上,通过实时截获分析网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监测预警系统能够根据系统安全策略做出反应,包括实时报警,事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
NISDetector的主要功能
★ 实时网络数据流跟踪
NISDetector探测器运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通信会话轨迹。
★ 网络攻击模式识别
NISDetector内置已知网络攻击模式数据库,能够根据网络数据流和网络通信会话轨迹,寻找网络攻击模式。
★ 网络安全违规活动捕获
NISDetector能够根据用户自定义的网络安全策略对网络和系统活动进行检查,捕获网络安全违规事件,规范网络和系统使用。
★ 网络安全事件的自动响应
NISDetector能够自动响应网络安全事件,包括控制台报警;记录网络安全事件的详细信息,并提示系统安全管理员采取一定的安全措施;实时阻断连接。
★ 提供智能化网络安全审计方案
NISDetector能够对安全事件报警记录进行分析处理和过滤,按用户策略筛选日志,大大减少了需要人工处理的日志数据,多方位反映系统安全状况。
★ 支持用户自定义网络安全策略和网络安全事件
NISDetector不仅能提供面向网络攻击方法的规则模板,还允许用户根据系统的安全需求定义用户规则模板。
NISDetector的主要特点
★ NISDetector探测器采用透明工作方式,它静静地监视设定网段的数据流,对网络通信不附加任何延时,不影响网络传输的效率。
★ NISDetector采用集中管理的分布式工作方式,能够远程监控。可以对每个探测器进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支持加密通信和认证。并能与HISDetector构成的层次化、一体化的入侵检测系统。
★ NISDetector支持多协议分析,可以进行应用解码,可进一步对数据包的内容进行分析处理。
★ NISDetector的安全域过滤技术使其具有良好的应用扩充能力。可以在单机处理能力不足的情况下,通过安全域拆分,用多机并行处理满足系统应用需求。
★ 以安全策略模板,安全事件,安全事件响应方式支持安全策略定义。
★ 探测器支持多接口,有隐蔽自身的自我保护功能。
NISDetector的工作原理与工作环境
★ NISDetector系统由安全控制中心和多个探测器和系统代理组成
安全控制中心完成对整个分布式安全监测预警系统的管理与配置。探测器监测其所在网段上的数据流,进行实时自动攻击识别和响应。当发现网络攻击或违规活动时,NISDetector可以进行如下反应:
☆ 控制台报警
☆ 记录网络攻击事件
☆ 实时软阻断违规网络连接
☆ 与防火墙联动,对网络攻击进行硬阻断。
★ 智能化审计
包括报警事件类别分析、报警事件级别分析、报警事件涉及的服务分析、报警事件涉及的主机分析、安全违规源和目的主机分析以及网络攻击嫌疑源和目的主机分析。
★ 工作环境
网络环境:运行TCP/IP协议的10M以太网和100M快速以太网环境。
探测器软件平台:RedHat Linux6.0以上
控制中心软件平台:Windowds NT/2000 服务器、Access数据库。
系统攻击特征库举例
★ 拒绝服务攻击检测:包括 Echo攻击、Finger炸弹、Land攻击、Ping洪流、Ping of Death、
Rwhod、Smurf 攻击、同步洪流(SYN Flood)、分布式拒绝服务攻击等。
★ 未授权访问尝试检测:包括电子邮件 DEBUG、Decode、Pipe、Wiz、FTP CWD ~root、 FTP Site Exec..、 IP 碎片攻击、 NFS猜测、NFS Mknod、NFS UID检查、 Rlogin-froot检查和各种特洛伊后门程序检测等。
★ 攻击前探测检测:包括电子邮件EXPN、VRFY、 端口扫描检测等。
★ 解码类检测:包括电子邮件From、Subject、To、 FTP GET File、Mkdir、 Password、 PUT File、SITE、Username;Mountd Export、Mount; Rlogin、RSH、SNMP Community String 和 SNMP等。
★ 可疑行为检测:包括不明IP协议等。
★ 用户自定义违规检测:根据用户按系统规则生成的用户模板,检测违规事件。
NISDetector具备的攻击检测能力
★按服务划分:监视E-Mail攻击、Web攻击、远程过程攻击、NFS攻击、FTP攻击、Telnet攻击、监视非授权网络传输。
★按技术途径划分:监视口令攻击、扫描攻击、特洛伊攻击、拒绝服务攻击、防火墙攻击、daemon攻击、监视非授权网络访问。