DOSNIPE NIPS 入侵防护系统

　　如今，商户,银行与其他商业与金融机构在电子商务热潮中纷纷进入 Internet ，以政府上网为标志的数字政府使国家机关与 Internet 互联，通过 Internet 实现包括个人,企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府,商务，还是金融,媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分，同时也是国家网络经济发展的关键。据统计：信息窃贼在过去 5 年中以 250% 速度增长，99% 的大公司都发生过大的入侵事件。世界著名的商业网站，如 Yahoo , Buy , EBay , Amazon , CNN 都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的 RSA 网站也受到黑客的攻击。

　　防火墙

　　防火墙的目的是在内部,外部两个网络之间建立一个安全控制点，通过允许,拒绝或重新定向经过防火墙的数据流，实现对进,出内部网络的服务和访问的审计和控制。

　　入侵检测系统

　　帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计,监视,进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

　　传统技术的不足

　　显而易见的，传统的技术已经无法抵御现今多种多样的攻击,入侵。防火墙过于呆板，某些产品定制规则不灵活，管理甚为麻烦；而入侵检测系统受其先天缺陷的影响，只能被动的监听，而对入侵事件无能为力，某些产品性能不高，应用在流量较大的网络中速度缓慢，甚至自身成为攻击的目标，最终崩溃。DOSNIPE NIPS入侵防护系统

　　DOSNIPE NIPS（入侵防护）设备由上海遐迩网络科技（发展）有限公司自行开发，该设备开创了网络安全的先河，完全打破了现有防火墙无智能化,入侵检测系统仅能对攻击 /入侵事件进行被动监听的局面，集当前所有抗攻击,反入侵技术于一身。

　　该设备可以实时分析客户网络中发生的入侵事件或攻击行为，并阻断该攻击 /入侵者。

　　防火墙部分集成DOSNIPE NIPS抗拒绝服务设备，可以线速抵抗100/1000M的攻击通讯流量，在网络中透明，客户端/服务器端均感受不到网络正在经受高强度的攻击。

　　入侵检测模块应用了业界领先的碎片重组,状态检测等多种技术，确保黑客的任何非法行为都被准确,快速的阻断该黑客，并且将该黑客的详细行为纪录下来。

　　DOSNIPE NIPS系统被设计为部属于服务器,机密部门等需要高强度保护的网络安全核心位置。 DOSNIPE NIPS系统可以轻松管理拥有上千网络节点的大型计算机信息网络的安全情况，为这些大型网络的正常运作保驾护航。

　　线速工作

　　能以线速工作，在1G流量的大型网络核心节点中，对网络传输性能的影响保持在10纳秒之内。

　　强大完善的全面检测

　　能及时切断攻击种类有：后门攻击,拒绝服务攻击,分布式拒绝服务攻击,扫描, Web 攻击,缓冲区溢出攻击, SMTP 攻击, RPC 攻击, ICMP 攻击,口令攻击等。

　　1 ． 后门攻击

　　BO,SATANZ Portal of DOOM , Silencer , NetBus , Netspy , GirlFriend ,冰河等。

　　2 ． 拒绝服务攻击

　　SYN Flood , UDP Flood , winnuke , Kiss of Death , Wingate DoS , Land , con\con , ARP Spool 等。

　　3 ． 分布式拒绝服务攻击

　　Tfn2k , trinoo , stachel , mstream 等。

　　4 ． 扫描攻击

　　ISS 扫描, Nessus 扫描, nmap 扫描, Superscan 扫描, whisker 扫描, Webtrends 扫描, L3retriever 扫描, ipe-syn-scan 扫描等。

　　5 ． Web-cgi 攻击

　　Test-cgi , handler , count.cgi , phf , PHP , Websendmail , Webdist 等。

　　6 ． Web-IIS 攻击： NewDSN 等。

　　7 ． Web-FrontPage 攻击： Fpcount 等。

　　8 ． Web-ColdFusion 攻击： Openfile 等。

　　9. 缓冲区溢出攻击

　　包括 IMAP , Named , Qpop , FTP , mountd , Telnet 等服务程序的缓冲区溢出攻击。

　　10 ． RPC 攻击

　　包括对 sadmind , ttdbserver , nisd , amd 等 RPC 攻击。

　　11 ． ICMP 攻击

　　主要包括利用大量 ICMP Redirect 包修改系统路由表的攻击和使用 ICMP 协议实施的拒绝服务攻击。

　　12 ． SMTP 攻击（邮件攻击）

　　E-mail Debug 等，以及利用 SMTP 协议实现 HELO , RCPT TO , VRFY 等缓冲区漏洞实施攻击。

　　13 ． 前奏攻击： SourceRoute 等。

　　14 ． 病毒攻击： Happy 99 ,爱虫病毒, WinimDa 等。

　　15 ． 口令攻击： telnet 口令攻击, FTP 口令攻击。

　　16 ． 其他： IE5&ACCESS97 等。

　　系统 体 系 结 构 如 下 图 所 示 ：

　　网络传感器

　　网络传感器的主要功能是采集网络上的数据包信息， 按照预先设定的规则过滤出 相关的数据， 对于入侵 ,越权操作 , 网络资源滥用等恶意行为实时报警并且切断， 同时将非法行为纪录下来 。

　　DOSNIPE NIPS系统的网络传感器根据用户选择或定义的规则进行探测， 识别 网络中存在的攻击信息或攻击企图 。网络传感器实时监听所有经过的数据包 ， 并交由数据分析及预处理模块并进行判断 。数据预处理模块对网络传感器采集的网络包分别对包头和内容检查， 发现攻击或入侵迹象后 ，即刻通知控制中心 。

　　网络传感器是 DOSNIPE NIPS系统分布式入侵防护系统运行的核心 ，它监听物理网络上所有通信信息，分析这些网络通信信息，将分析结果与网络传感器上运行的策略规则集相匹配 ， 依照匹配结果对网络信息执行报警 , 阻断, 日志等功能。 同时它还需要完成对控制台指令的接收和响应工作。网络传感器是由策略驱动的网络监听和分析系统。

　　数据接收

　　数据接收机接收到网络传感器发送来的入侵事件信息 ,状态信息及其他信息， 根据系统配置 ， 将结果保存到指定的数据库中， 供控制中心的安全专家进行后续的分析处理 。

　　数据库服务器

　　数据库服务器保存所有的配置信息 , 安全事件信息及处理信息等，供控制台安全专家实时分析或统计分析使用。

　　控制中心

　　控制中心是DOSNIPE NIPS系统与管理员的交互接口，DOSNIPE NIPS系统提供了基于WEB的管理方式，使用户在出差,外出等情况下可以轻松察看系统运行状态,调整系统策略。系统基于角色的管理方式，用户可以灵活定制系统的角色和角色所具有的功能，系统缺省定义的角色包括系统管理员, 操作人员, 审计人员和安全专家，各角色具有不同的操作权限，操作用户可以属于一种或多种角色，并拥有相关的操作权限。用户还可以按照需要自己定义角色，使用户拥有更加灵活的操作权限。

　　控制中心操作人员和安全专家实时分析和处理入侵事件的工具，主要完成事件分析处理, 事件响应, 客户信息管理, 网络传感器信息管理, 系统管理, 角色管理等功能，主要功能如下所示 ：

　　分析处理

　　安全专家对已确认为攻击的信息逐条或根据攻击的目标客户, 源IP地址, 目标IP地址等进行聚类分析，如果是攻击行为，则根据攻击的风险程度和对客户网络的影响程度，确定将要采取的响应方式， 交由通知 , 报警和响应模块处理 。

　　通知,报警和响应

　　根据管理员对事件的处理结果 ， 进行证据收集 , 通知客户 , 预警和响应等工作 。

　　传感器管理

　　? 传感器管理包括以下内容 ：

　　? 传感器基本信息

　　? 传感器运行状态信息

　　? 传感器的启停等

　　知识库管理

　　系统知识库包括以下内容 ：

　　? 漏洞解决方案库

　　? 检测规则库

　　系统管理

　　系统管理是对系统配置的维 护和对系统用户的管理 。

　　系统管理由以下几方面的内容组成 ：

　　? 系统用户管理 ： 系统用户的增加, 删除 ,修改等 。

　　? 安全审计 ： 系统用户的登入 , 登出等访问纪录以及进 入系统后所做的一切操作均作记录 ， 已备审计和查询

　　? 配置管理 ： 对相关系统 配置的维护管理 。

　　3 ． 7 事件查看器

　　事件查看器是DOSNIPE NIPS系统分布式入侵防护系统中的一个独立的软件模块 ， 它可以把 DOSNIPE NIPS系统探测器收集和发送的安全报警事件原始数据从数据库中直接调出 ， 然后进行分类查询分析 。事件查看器可以方便 安全管理员查阅 DOSNIPE NIPS系统检测到的所有安全报警事件信息， 它还可以让安全管理员根据想要查看的时间段 , 具体协议 , 源 IP地址以及网络攻击的具体类型分类查看安全报警事件。事件查看器还可以把以前的安全事件历史数据从指定的数据库中调出， 进行查询分析工作 。事件查看器通过采用多个树型结构和灵活的时间范围查询为用户提供方便直观的使用界面 。事件查看器中主要树型结构包括按客户（含自定义的客户部门 , 客户子网等）, 按源 IP , 按目的IP , 按事件类型等进行的分类树型结构 。事件查看器是DOSNIPE NIPS系统用户对安全事件实时和事后分析的有力工具 。

　　3 ． 8 报表生成器

　　报表生成器是 DOSNIPE NIPS系统分布式入侵防护系统的重要组成部分， 它是DOSNIPE NIPS系统中功能强大的独立软件模块 。报表生成器的功能优势在 于， 它可以把保存在数据库中的大量网络安全攻击事件数据按照用户要求的条件检索出来， 并且以图表的形式把客户遭到安全攻击的趋势和安全风险程度表示出来 ， 让用户对企业的网络安全状况有非常清晰形象 的了解与把握 。报表生成器可以有效帮助用户掌握自己企业面临的网络安全威胁 ， 使企业知道应该在哪方面加强安全防护工作， 做到防患于未然 。报表生成器按照用户的要求， 如 DOSNIPE NIPS系统具体保护的某一家 单位， 攻击事件发生的时间段 ， 攻击的源IP地址 ， 攻击的目的IP地址以及攻击所采用的具体网络协议和攻击方法等等， 针对种种条件要求显示客户遭到潜在攻击的情况 ， 非常方便用户对企业的网络安全风险进行分析和统计。

　　3 ． 9 附属功能

　　DOSNIPE NIPS系统还包含有许多附加功能：

　　? VPN（虚拟专用网）

　　? 网络流量控制

　　? 企业员工上网控制

　　? 路由支持

　　特性

　　即插即用，网络隐身，无 IP地址，精简和优化的TCP协议，Console和Web双重管理模式

　　典型应用

　　企业网应用

　　某公司通过接入路由器连接 Internet，公司有WEB,Mail,Data服务器群，以及三个相对独立的内部局域网。现将DOSNIPE NIPS入侵防护设备分置于各个网段与交换机之间。实现了服务器群和各个部门之间最大限度的安全，甚至杜绝了近年来呈快速上升趋势的新的攻击来源——内部攻击。