NetEye IDS 2.0 技术白皮书

一、 概述

由于互联网络的发展，整个世界经济正在迅速地融为一体，而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在 迅速普及，一句话，整个社会对网络的依赖程度越来越大。众多的企业、各种组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，以充分利用网络的信息和资源。网络已经成为社会和经济发展强大动力，其地位越来越重要。伴随着网络的发展，带来了很多的问题，其中安全问题尤为突出。了解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全已经成了网络发展中最重要的事情。

1、网络面临的主要威胁

日益严重的网络信息安全问题，不仅使上网企业、机构及用户蒙受巨大经济损失，而且使国家的安全与主权面临严重威胁。要避免网络信息安全问题，首先必须搞清楚触发这一问题的原因。总结起来，主要有以下几个方面原因。

（1）．黑客的攻击。黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。

（2）．管理的欠缺。网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％－85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。

（3）．网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性，

（4）．软件的漏洞或“后门”。随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

(5).网络内部用户的误操作，资源滥用和恶意行为。再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。

2、入侵监测系统IDS，消除网络威胁

入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁：

(1)、识别黑客常用入侵与攻击手段。

　　入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获。

　　(2)、监控网络异常通信。

　　IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。

　　（3）、鉴别对系统漏洞及后门的利用。

　　IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。

　　（4）、完善网络安全管理。

　　IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网络管理。

　　3、NetEye IDS 2.0, 给您提供全面的安全

　　NetEye IDS 2.0是东软股份最新开发的具有自主版权的网络入侵监测系统。利用独创的数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。是防火墙之后的第二道安全闸门。并可对网络的运行，使用情况进行监控，记录，和重放。使用户对网络的运行状况一目了然。同时提供网络嗅探器和扫描器便于分析网络的问题，定位网络的故障。NetEye入侵检测系统可对自身的数据库进行自动维护，不需要用户的干预。学习和使用及其简易，不对网络的正常运行造成任何干扰，是完整的网络审计，监测，分析系统。配合防火墙系统使用，可以全面保障网络的安全,组成完整的网络安全解决方案。

　　二、系统结构

　　NetEye IDS 2.0采用客户/服务器结构，由检测引擎和管理主机组成。

　　? 检测引擎

　　检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有数据包进行记录和分析。在重组网络数据流的基础上，根据规则判断，统计分析是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。

　　? NetEye IDS 管理主机

　　运行于Windows操作系统的中文图形化管理软件。 使用加密通道和检测引擎安全通信，可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。

　　整个系统结构示意图如下：

　　三、功能模块简介

　　NetEye IDS入侵监测系统 2.0主要包括以下主要功能模块：

　　1、 多种通信协议内容恢复功能

　　NetEye IDS 2.0 入侵监测系统针对几种常用的应用协议（HTTP、 FTP、SMTP、POP3、TELNET）数据连接的内容恢复的功能，能够完全记录通信的过程与内容，并将其回放。并可自定义协议，便于扩充。此功能可用于监控内部网络中的用户是否滥用网络资源,了解攻击者的攻击过程，发现未知的攻击具有很大的作用。举例如下：

　　? HTTP通信内容恢复：

　　可恢复HTTP通信的所有内容，包括文本和图形。包括原始的会话信息。便于分析基于HTTP协议的攻击行为。

　　? POP3或SMTP协议内容恢复。

　　可完整的恢复电子邮件的标题，正文，附件，会话信息。并可根据许可证决定是否显示邮件内容，做到安全和用户隐私的兼顾。

　　? TELENT协议内容回放

　　对TELENT会话进行完整重放，便于管理员了解攻击者或恶意用户做过的操作。

　　?

　　应用协议数据量比例图

　　用多种图表显示网络各应用协议所占比重，便于管理员了解网络当前状况。

　　2． 网络攻击与入侵监测功能

　　根据数据流智能重组，轻松处理分片和乱序数据包。利用统计与模式匹配，异常分析，检测1000多种攻击与入侵行为。系统提供默认策略，用户也可以方便的定制策略。使用数据库存储攻击与入侵信息以便随时检索。系统还提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。管理员可根据资料加强系统安全，并追究攻击者责任。举例如下：

　　1. 策略编辑：

　　用户可根据自身网络状况定义相应策略。有效的提高了入侵检测的针对性和有效性。

　　? 攻击事件查询

　　查询历史攻击事件，分析攻击者的行为。

　　? 实时报警：

　　实时对异常事件做出报警和响应。

　　3．报表功能

　　NetEye IDS 2.0 入侵监测系统提供灵活，方便， 图文并茂的报表功能。便于管理员检索和保存信息。举例如下：

　　４．实时网络监控功能

　　? 实时连接监控

　　实时监控网络当前连接，显示网络用户信息，可随时断开可疑连接，最大限度的保证网络安全。

　　? 实时网络流量监控

　　实施监控网络当前状况，便于用户发现网络异常，定位网络故障。

　　?

　　网络嗅探器

　　对网络中的数据流进行分析，解码。查找网络问题。

　　5．历史连接察看

　　察看网络中发生的所有连接事件，是完整的网络审计日志。

　　6．网络端口扫描器。

　　主动扫描网络，发现网络问题。

　　7． 其它辅助管理，配置工具。例如：

　　四、 技术特点

　　NetEye IDS 2.0采用了多种先进技术，在实用的基础上做到了稳定、高效，易用、易维护。

　　? 高效独特的数据截取技术

　　直接从内核接收网络数据，减少中间环节，缩短了系统调用时间，从而提高截取网络数据包的速度和效率，系统运行效率高，可以监测高速网络，丢包率极低。

　　? 完整的数据流恢复技术

　　完整的数据重组，恢复技术。把网络连接作为数据流分析，而不是一个个孤立的数据报。

　　完全处理数据分片和乱序的问题。

　　? 网络通信完全监测。

　　记录网络上的一切数据包。尽量做到实时分析，当遇到网络流量高峰的时候，可以根据记录下来的数据流进行事后分析。入侵活动可以具有很大的时间跨度和空间跨度，有预谋的入侵活动往往有较周密的策划、