安胜入侵检测系统

　　安全事件响应模块：对发生的安全事件采取相应的措施。措施包括：阻断网络连接、记录可疑网络活动、发送报警信息。
　　管理监听模块：在固定端口上监听管理中心发来的管理命令，然后根据管理中心的指示调整系统运行。
　　日志模块：记录Sensor的运行情况，便于故障排除。
　　9. ERCIST-IDS安全策略
　　安全策略是系统的核心。系统根据Security Policy进行数据提取、分析、入侵特征匹配，并根据它对发生的安全事件采取应对措施。安全策略必须符合单位网络运行特点，才能有效地提高系统工作效率，发现尽可能多的入侵行为，最大限度地保护网络系统安全。
　　安全策略分为缺省规则和自定义规则两个主要部分。缺省规则是系统根据已有的入侵模式制定的，它帮助用户快速定制安全策略，发现常见的网络入侵行为。系统内置一千多条已知的入侵模式。自定义规则使用户可以制定符合单位网络环境的安全规则，发现新的网络入侵行为和网络滥用行为。
　　一条安全规则由地址、协议、端口、特征码、应对措施、报警分类、级别、报警提示信息等部分组成。各条规则之间是“或”关系，规则内部各个项之间是“与”关系。
　　地址：指出安全事件涉及的源IP地址、目的IP地址或IP地址范围。 
　　协议：指出安全事件涉及的协议，IP或TCP或UDP或ICMP。 
　　端口：如果协议是TCP或UDP，则可以指出安全事件涉及的端口。 
　　特征码：指出安全事件涉及的特征码，如：TCP标志位，数据包内容等。 
　　分类：指出安全事件涉及的类别。 
　　级别：指出安全事件涉及的级别。 
　　报警提示信息：给出安全事件的简短提示。 
　　应对措施：指出应对安全事件的措施，如：阻断网络连接，报警，记录可疑网络活动等。 
　　10. 通信加密机制
　　为保障系统自身的安全性，各个部件之间的通信采用了AES加密算法。
　　11. ERCIST-IDS特点
　　11.1. 实时网络系统监控 
　　ERCIST-IDS实时采集网络数据，能够及时报告网络中的入侵行为。
　　11.2. 采用Libpcap捕获数据链路层的分组 
　　ERCIST-IDS底层数据包捕获模块采用通用的Libpcap库，因而具有Libpcap的优势。
　　11.3. 网络数据重组 
　　ERCIST-IDS具有分片重组的功能，能够检测故意利用小分片逃避安全检测的入侵模式。
　　11.4. 基于网络状态的跟踪分析 
　　ERCIST-IDS为了减少误报率，能够采用基于网络连接状态的方法进行判断，而不是根据单个的报文进行判断。
　　11.5. 自定义安全规则 
　　用户可以使用系统提供的规则配置接口，定制符合本单位网络特点的安全策略。用户可以指定对哪些地址、地址范围、应用、行为进行监控，对哪些网络活动可以忽略等。使用自定义安全规则，用户可以较好地利用该系统，使该系统发挥最大的效能。
　　11.6. 多种协议解码 
　　ERCIST-IDS可以对多种协议解码，分析多种网络应用，包括IP、ICMP、TCP、UDP、FTP、TELNET、HTTP、SMTP、NETBIOS、NNTP、IMAP、POP、SNMP、RPC等等。
　　11.7. 阻断网络连接 
　　ERCIST-IDS可以使用多种灵活的方式阻断非法的网络连接。
　　11.8. 易于扩展 
　　ERCIST-IDS在设计实现时采用三级结构，利于系统的扩展。
　　11.9. 内容丰富的入侵模式库 
　　ERCIST-IDS内置拥有一千多条入侵特征码的模式库，可以及时方便地升级。
　　11.10.良好的自身安全性 
　　ERCIST-IDS具有良好的自身安全性。这体现在：一、只有被授权的用户才可以运行系统。二、各个部件间的通信是经过加密认证的，使通信不被破坏，通信的双方不可仿冒。
　　12. 应用示例一
　　监控内部网。将Sensor接在内部网的HUB或交换机的PROBE端口进行监听。如此接入方法使得ECIST-IDS能够监控内部网段的活动。
　　13. 应用示例二 
　　监控进出内部网的数据流。将Senosr接在防火墙后面，可以监控透过防火墙、进出内部网的网络操作。
　　14. 应用示例三
　　分布式应用。Console可以远程管理多个Sensor，因而可以监控多个网段的安全状况。
　　15. 总结
　　网络信息安全不是一劳永逸的工作，需要我们不断调整不断完善网络安全体系结构。弥补了已有的安全漏洞，可能会出现新的安全漏洞。一段时间安全状况良好并不代表永远不会有安全问题发生。更何况黑客的技术途径不断更新，技术手段不断提高。

 4/5   首页 上一页 2 3 4 5 下一页 尾页