ISS安全评估和入侵检测产品综述..docx-淘文阁

资源描述

《ISS安全评估和入侵检测产品综述..docx》由会员分享，可在线阅读，更多相关《ISS安全评估和入侵检测产品综述..docx（39页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络安全评估网络入侵检测解决方案编纂:北京立新圆计算机技术有限公司地址:北京海淀区蓟门里北甲四楼邮编:100088电话:8610-62367832传真:8610-62367835目录-安全评估3 1 Internet Scanner31.1简介31.2 InternetScanner扫描特征6L3扫描过程72 System Scanner82.1简介82.2系统扫描器结构8 2.3 System Scanner产品特点92.4产品扫描特10112.5 System Scanner 扫描过程.宽阔的支持平台系统扫描现在可以支持24种以上的平台，包括Unix平台的很多类型，例如Linux和W

2、indows NT, Netware等。用户可自定义轻松的安全策略用户能轻松的升级自己的“Flex Checks”或根据自己的独特环境自定义检测方法。网上通讯加密系统扫描器代理和控制台之间采用SSL (Secure Socket Layer加密方法在网上进行信息交流，不会受到窃听的威胁。丰富全面的安全规则系统扫描器涵盖超过900 Unix和NT系统的安全规L7产品扫描特征IKI91rA% f?n,m. uftHf,.- ireWEUM PR MAU V X。4 M2 -，,/4。1,1修|*x. Mk.UKnqc苗承口。.月”青，.*,；代口MX*J- 的“%4氏1F1 HI11 M4nfe

3、VB*. tUPW* 乂；二，rsi- i*iv ieiirMt/txn，； i i WM. .M eZ*SS.tlfffi ft /微字” “* N钟l/Aif做彳仁6的内“人”，峭*A.a B崎* R 缸、中也力.R n H. 口付奥.J .1 zfi ”仪 w，”l3C, SMd*. *tl|. Nftw”或第.城花修修yg 5 mit，际 mrawtFTir1尔FXACMMtl H.Q，；* 匕力鬣 0 i fl. 13，W4 m跋nxtHH*二，力八中OAY oct ArstWMHWim* K x!”上文”.，/.1 tn Jki. 6R”0*2一匕A R Ml t k嘲可.NM

4、 fiiAAM. 76力”.情 .食 UN陶.W-H”$5r W ”八，X4v“，0tif. h l gUJL 4”煤A.Fk自1 08-k.内布欧+it九*:相女 ft*仆町，/ m配ir it内第更8, 6-t jh. * 扫描流”如图所示，网络扫描器是在网络层扫描各种设备来发现安全漏洞，系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上，它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描器会用一

5、种数字指纹锁定系统配置,以便更容易发现非法访问。带箭头线路代表System Scanner的扫描过程。2 Database Scanner2.1 简介数据库扫描器（Database Scanner是世界上第一个针对数据库管理系统风险评估检测工具，提供广泛、强大的数据库扫描。任何人都能利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。Database Scanner是第一个数据库漏洞和风险评估的一种产品，它通过指定相应的安全策略保护数据库。数据库扫描器自动识别数据库系统中潜在的安全漏洞，从密码的强度到2000年问题，特落伊木马，它利用内置已有的知识库，直

6、接产生清晰的报告,对数据库系统中的漏洞或配置提出建设性的建议。目前database Scanner 可扫描的数据库有 Oracle Database, Sybase Database, SQL SERVERo 可针对其认证、授权和系统完整性三类安全漏洞做扫描。实行分布式管理的公司更加得益于数据库扫描器的强大功能。位于Buffalo Groveo IL , AZ Database公司总裁Andrew Zavevsky曾这样评价数据库扫描器:“应用数据库扫描器，现在，公司可以用工业界最先进的安全检测技术,经济有效地保护他们的服务器。通过运行数据库扫描器的检测报告程序，用户可以很容易地修补安

7、全漏洞，因为该报告不仅产生对漏洞的描述，同时提供对漏洞的具体解决办法。”2.2 Database Scanner 特点1、用于制定、开发、实现和强制实施数据库安全策略，主要是：可用ISS安全知识向导（SKW和经过实践检验的工业标准来开发、实现和保持适合的安全策略。可检查数据库系统的公认的操作标准，包括策略违反、弱口令及任何恶意行为的迹象。可协调帐户的创建、存取控制、帐户的终止和恢复。可检查和监控重要的过程和设置。可安装并应用所有最新的版本升级、补丁。可检查数据库系统如Sybase Adaptive Server的内部应用的安全。2、深入分析理解所发现的问题了解安全风险有关的认证、授权和系

8、统完整性问题，以及其如何构成影响企业的风险。准备一些报告并让所有人阅读，了解他们的数据库管理系统的环境。向各级管理层和各部门提供直观易懂的报告，报告中有详细的图表分析及对所有发现的安全漏洞的建议补救方法。协助企业数据灾难恢复计划的开发、实现和修改。3、正确、高效、省时的工具完全自动地对数据库管理系统进行信息收集、分析，使你能集中注意力于其它重要问题。可在安全保护程序的开发中使用数据库系统的专业技术。内嵌的知识库提供了数据库系统安全专家的能力。定期扫描数据库管理系统服务器，发现新的安全问题和其它影响性能的问题。自动调用当前设置，并记录设置改变的历史。2.3 扫描过程Database Sca

9、nner 网络结构图 OracleServerSQLServer说明:如图所示，这是一个非常典型的网络结构,Database Scanner通过安全规则对网络上关键的数据库服务器进行漏洞扫描，找出数据库中的潜在的安全漏洞和数据库中错误的配置，最后产生详细直观报告，提出建设性的建议及修补漏洞的措施。通过SAFESuite构架，还可以把信息传送给更高层次的网络和系统管理系统象 OPENVIEW、Net Managers Tivoli和CA Unicenter,通知他们目前的网络状态和应采取的对策。3ISS安全评估产品软硬件要求ISS安全评估产品安装和运行的软硬件要求如下表所示:Scamer.

10、 0控制仃CFV至少200 NHzPentium Pro 11 描rm敢M大时II)350 ohz Pentilh II mPentilb 壮也 H内作80 内。口描 I：机他惘大IH建信用128 IB内门）至少6 MB rtftG/B 内。16 KB出增加个卜公加15 超内“何从小后丈力安装IHS 18CVB：从此550用卜线疔3 厅.100 hwiim Cttm 2. 5MB.1O0IB仅次破国守35IB也犯一口？ M磴笈空S河力以木N或9牌斗M 1-TCP/IPM，j，岚S少 800X600 像素,原色分学1024屋68图6分掰 *OSNindcwt NT 4.0 llarkstT

11、ico (ifith ServicePack 0 .irdiwf KT I Moyksteticn or Server ServicePftck t ar 5WlndcwB NT 1 Morkitmioti* Server w Server Enterprifie Service Pack 1 ox 595 Mih Internet ErplmtJ 1. 0； SP (UI:) Birydows 96 Service Pack 3 or gjeetcr . Ini emet Erj-lcrer 3. 02 上)苗也富Internet Kiplorer version 4(刖 H 览帚助义ft)

12、文 * 陆KTFSRTFS*注VDK 2. 0.x4ISS安全评估产品支持的平台:4.1 Internet ScannerISS的Internet Scanner是网络安全工业首选的策略产品，它对网络漏洞进行分析和提供决策支持。Internet Scanner可以扫描网络中任何拥有IP地址的设备,而不管其是路有器、打印机、个人计算机、防火墙还是工作站、服务器,更涅论其上运行哪种操作系统了。所以可以说 Internet Scanner几乎支持所有的操作系统扫描。4.2 Database ScannerISS数据库扫描器(Database Scanner是世界上第一个针对数据库管理系统风险评

13、估检测工具。可以利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。目前ISS生产的数据库扫描包括Database Scanner for Microsoft SQL Server(DBQLs Database Scanner for Sybase Adaptive Server(DBSY 和 Database Scanner for Oracle Database(DBORo 所以目前 Database Scanner 可扫描的数据库有 Oracle Database, Sybase Database, SQL SERVERo4.3 System Scanne

14、rISS的System Scanner提供基于主机的安全评估，分析安全弱点。网络扫描器是在网络层扫描各种设备来发现安全漏洞,System Scanner系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过System Scanner控制台进行集中管理和配置。System Scanner控制台完全是一台单独的机器，而由系统扫描器代理决定可支持的操作系统。目前系统扫描器代理支持和即将支持的操作系统如下表所示:系统扫描器代理支持的操作系统System Scanner 4.0 AgentsWindows NT (IntelNT 4.0 SP4,

15、SP5System Scanner3.X AgentsDigital UNIX (Tru64 UNIXV3.2C,Digital UNIX (Tru64 UNIXV4.0DHPUX 9.x,HPUX 10.10, 10.20IBM AIX 3325,IBM AIX 44.1,4.2NCR (SVR4 on IntelSVR 4.0Sequent PTX/2.X,Sequent PTX/4.0,Sequent PTX/4.2, 4.2X (Large filesWindows NT (Intel3.51SCO Openserver5.0SCO Unixware2.0, 2.1SIEMENS SI

16、NIX5.43Sun Solaris 11.xICL DRS/NX 6 (or /NX 7NX 6, NX7, 7M+系统扫描器代理即将支持的操作系统System Scanner 4.0 Agents planned for HP/UX11.0IBM AIX4.3Compaq Tru64 Unix (Digital UNIX 5.0SCO UnixWare on Intel7.0SCO OpenServer5.xSiemens SINIX5.44SUN Solaris7Linux (Red Hat6.0Novell Netware5.0Windows NT (AlphaNT 4.0Window

17、s 2000Release 15 ISS安全评估产品对系统的影响Internet Scanner , System Scanner, Database Scanner 扫描器产品在进行扫描时不会明显增加网络的负担在一个WBaseT的网络环境中一般占用3%左右的资源, 还可以安装网络性能监控程序来监控网络状态。3 Database Scanner113.1 简介113.2Database Scanner 特点123.3扫描过程144ISS安全评估产品软硬件要求145ISS安全评估产品支持的平台:15 5.1Internet Scanner155.2 DatabaseScanner165.3 S

18、ystem Scanner166 ISS安全评估产品对系统的影响177漏洞特征和扫描弓I擎的定期更新服务18208ISS安全评估产品的报表199安全评估产品的部署9.1 Internet Scanner 和 Database Scanner 的部署20 9.2System Scanner的部署23 入侵检测251RealSecure25 1.1RealSecure 产品简介25 1.2 RealSecure通过以下部件支持开放的网络环境26 1.3基于主机和基于网络相结合的入侵检测261.4所有Network Engine和SystemAgent都支持用户定义的基于明文字符串匹配的客户签6漏洞

19、特征和扫描引擎的定期更新服务ISS对于新出现的安全漏洞和黑客攻击手段,ISS经常对产品对进行升级，及时保护您的网络安全。如果想详细了解最新安全信息、威胁、漏洞以及它们的严重性，可访问 X-Force Knowledge Base(X-Force 知识库.Internet Scanner 6.0 版本和 System Scanner 4.0版本可以直接通过产品提供的X-press Update程序从Internet上自动升级 X-Press基本上每两个月即可升级Internet Scanner的漏洞数据库和程序代码以保证网络所需的最新安全信息。ISS的产品的升级主要分为版本升级和特征库

20、升级两种。ISS特征库升级采用X-Press Update方式，可以保证在最短时间内获得最新的特征库。X-Press Update可以自动查找被升级主机上没有的特征代码并自动安装,还可以自动安装或下载已发布的特征代码。如图所示，通过X-Press Update所发现的当前所有已发布的特征代码。7ISS安全评估产品的报表ISS的安全评估工具快速易于管理的图形报告系统都由强大的报表生成能力。 ISS每一个产品都可产生非常直观的报表。ISS Internet Scanner和System Scanner 可以提供管理、资产统计和技术分析三个不同级别的报告，甚至可以根据用户定制来生成报告。Dat

21、abase Scanner则可以针对数据库的安全漏洞分别生成多达20种报告。可以说ISS的报表功能在业界完全具有领先优势，而且ISS为了保持这种领先优势，不断地改进其产品的报表生成能力，在每次的产品新版本发布时都回加入新的报表生成功能。8安全评估产品的部署安全评估产品在企业内部署时，Internet Scanner和Database Scanner的方式较为相近;而System Scanner则采用Client/Server方式,下面分别加以描述：8.1 Internet Scanner 和 Database Scanner 的部署Internet Scanner和Database

22、Scanner的在企业内部署时共同的特点1、都不受网络环境的限制，放置在任何一点都可以发挥其效用。在局域网环境中，只需要一根网线;在广域网和Internet环境中只需要一根电话线、一个 Modem和一个账号,Internet Scanner和Database Scanner即可出色完成任务2、该产品只收扫描点数或数据库数的许可证费用，而其安装的套数不受任何限制3、由于其高度敏感性，应防止任何滥用不同点是Database Scanner需要被扫描数据库的管理员权限，而Internet Scanner 不需要任何被扫描主机的权限。结合一般金融企业分布式结构，为了方便管理和使用，建议Inter

23、net Scanner和 Database Scanner的部署采用以下方式：1、在总行中心的局域网中部署两套 Internet Scanner,由安全管理支持中心使用,一套用于中心局域网安全扫描工作;一套用于集中式地扫描下属单位的计算机，检查各单位遵守安全策略的情况。视工作情况可适当增加部署的套数，若实践中扫描的工作量过大或者需要对下属单位的安全情况要有更全面深入的了解，还可为每个一级下属单位各设置一套。当然视具体情况的各种灵活配置也是很好的。2、在一级和二级下属单位分行和支行的安全管理支持中心各配置一套移动式的Internet Scanner ,用于各单位自身及其所属单位的网络安全

24、扫描。每次安全扫描时只需将其要扫描的网段即可。Internet Scanner部署如下图所示：Internet Scanner网络规划图支行总行H1Inf erneS canner分行Inf ernet Sea扪描路将WYV1移动式行安全管理 csa支持中心Inf ernet Sanner营业网点Internet Scanner部署网络结构示意图3、由于Database Scanner在扫描时需要被扫描数据库的管理员权限，所以不宜做集中式的扫描,建议在每个安装有重要数据库的网段安装一套。如果在实际实施时因这样的网段过多而造成费用的增加、人员的短缺和管理上的混乱，可应采用另 -种部署方式:

25、在总行、分行和支行级安全管理支持中心各配置一套移动式 Database Scanner，由专人管理，每次安全扫描时只需将其临时性地接入数据库所在网段即可。Internet Scanner部署如下图所示：Database Scanner 网络规总行专用DBS分行专用DBSServer分行网Server支行网Server营业网点Server营业网点专用DBSDatabase Scanner部署网络结构示意图8.2 System Scanner 的部署Is结构特点System Scanner在企业内部署时特点是采用Client/Server结构，由控制台 Console来控制代理Agent的扫描活

26、动,非常适合在金融企业的分布式结构上部署。通过这种Client/Server式结构,很容易实现集中分布式的安全管理和监控结构。2、 System Scanner 的 Agent 的部署System Scanner的Agent可以部署在以下地点：系统中Intranet和生产网上的重要的Email s Web、DNS软件防火墙和其他关键应用服务器，连入Internet的Email、Web、DNS、软件防火墙等服务器3、System Scanner Console控制台的部署System Scanner Console控制台，建议采取按总行、分行和支行三级，级内集中的控制方式，各级间的控制台

27、不能越级控制其他级内的代理Agent o这主要是从网络负载的角度考虑，因为如果从总行一级开始对全行集中控制的话,由于系统过于庞大, 在扫描式有可能导致带宽拥塞。所以不建议System Scanner采用大集中方式。当然如果能够采用类似Packed Shaper带宽整形技术使得带宽能够保障的话,这种方式也是可取的。2、网络结构如上所述,System Console控制台采取按总行、分行和支行三级,级内集中的控制方式，其网络结构示意图如下所示：北京立新圆计算机技术有限公司ISS安全评估和入侵检测产品综述SSASSASSASSA SSA SSASystem Scanner分布式部署网络结构示

28、意图如果采用集中方式,则其网络结构如下图：Sys ten扫描路SSC SystemScanneConsol总行专用SSCSys ten 扫描路SSC SystemScanne Consol八一Sys temScann SSAAgencca Sys temScann SSAAgen分仃网 a-总行专用SSCSSASSASSASSASSASSASystem Scanner集中式部署网络结构示意图目前，我们提出以上部署的方案只是一个初步方案,实际上ISS的安全产品的部署完全可以根据具体情况而作相应的灵活变化。二入侵检测1 RealSecure1.1 RealSecure 产品简介实时监控Real

29、Secure是工业第一个完整的基于网络和主机入侵检测和响应的系统。它实时对企业的网络进行监控和监督,允许监控器自动监控网络通信和主机日志，侦测可疑的行为，在系统遭到威胁时，对内部及外部的主机及网络不当的行为进行截取和响应。ISS公司的监视引擎和检测特征的定期更新服务非常迅捷， RealSecure从最初的1.0已发展到现在的3.2版本。而且其更新频率正逐步加快，比如从3.0到3.1用了 6个月的时间，而从3.1到3.2只用了 4个月的时间，且3.1版自身就还有多个更新版本。 RealSecure每个版本中都及时加入新发现的攻击特征信息。RealSecure具有以下特点:1.2 Rea

30、lSecure通过以下部件支持开放的网络环境1、检测和标记主机和网络中的可疑行为,并将这种信息反映给唯一的控制台应用软件。2、将紧急威胁和低级、中级配置错误区分开，从而最大限度发挥管理员的作用。3、适应动态网络需求 RealSecure Engine和Agent能分放在网络总的多个网段。4、可以把入侵检测系统技术扩展到交换的网络环境中。1.3 基于主机和基于网络相结合的入侵检测RealSecure有四种独特的数据资源来保护服务器免受攻击:应用日志文件,操作系统日志文件,关键系统转换文件和对可疑连接的监测。这些数据资源使 RealSecure Agent能判断攻击者是否成功，检测用户行为

31、,提供详细的、可供向法院起诉的信息。基于这些发现,RealSecure Agent通过中止用户进程,，和挂起用户帐号来阻止更深入的攻击。它还可以送出实时警报，日志文件，发出捕获信息和email,或执行用户定义的行为。1.4 所有Network Engine和System Agent都支持用户定义的基于明文字符串匹配的客户签名。名。 27 1.5 Real Secure 的组成271.6 RealSecure 产品特点：28 1.7 RealSecure可识别的攻击特征：291.8 RealSecure 攻击防彳卸过程301.9实时监控系统RealSecure对系统的影响321.10 R

32、ealSecure软硬件要求321.11 RealSecure 的部署33后记-安全评估安全评估产品主要是静态对网络中的各种系统、设备和数据库进行漏洞扫描, 找出整个网络系统中最容易受到攻击的地方,对网络进行有效的评估,最后提出建设性的解决方案。目前ISS公司主要提供Database Scannerx Internet Scanner和 System Scanner三种扫描器安全评估产品，分别可对数据库、网络和系统进行安全评估。ISS 的安全评估工具 Internet Scanners System Scanner 和 Database Scanner 拥有目前业界最为丰富和完整的安全漏洞

33、特征数据库。目前,Internet Scanner版本为6.0.1,可检测34类共543种安全漏洞；System Scanner版本为4.0,可以检测759种 Windows NT安全漏洞和558种UNIX安全漏洞；Database Scanner版本为3.0,可以检测 Sybase Adaptive Server、Microsoft SQL Server 和 Oracle Database 三种数据库的认证、授权、系统完整性三类共168种安全漏洞。下面分别对其一一做简要介绍。1 Internet Scanner所有Realsecure引擎和Realsecure代理向Realsecu

34、re管理器报告并由管理器进行配置。这个控制台应用监控任何一个RealSecure引擎和代理的组合的状态,不管它们运行在UNIX上或Windows NT o这样的结果是企业得到广泛的入侵检测和响应，易于配置并可从一个站点进行管理。Realsecure管理器还可作为许多网络和系统管理环境的嵌入模块。1.5 Real Secure 的组成RealSecure由下面三部分组成:RealSecure Engine（网络弓 I 擎RealSecure Agent （代理程序RealSecure Manager（管理器1、RealSecure Engine（网络引擎RealSecure引擎运行在特

35、定的工作站上提供网络入侵检测和响应。每个网络引擎通过对流动在指定网段上的信息包进行跟踪分析来识别攻击-收集证据来确定是否有非法攻击正在发生。当网络引擎侦测到非法行为，它立即作出响应，切断非法连接,发送电子邮件或者呼机信号，记录事件，重新调整防火墙，或者采取其他用户自定义的行动。另外,网络引擎还可以把警告发送给管理器或第三方管理控制台以便以后进一步的管理和分析。2、RealSecure Agent （代理程序RealSecure代理是基于主机对RealSecure引擎起补充作用的构件。RealSecure 代理是通过分析主机日志来识别，确认攻击是否成功。每个RealSecure代理安装

36、在一台工作站或主机上,全面检查系统日志,分析是否有网络和安全破坏事件发生。为了防止遭到进一步的攻击,RealSecure代理及时终止用户进程和停止用户帐号，它还能发送警报，记录时间，发送陷阱，发送EMAIL或执行用户预定义的行动。3、RealSecure Manager（管理器所有的RealSecure网络引擎和Realsecuru代理都要把报告发送给RealSecure 管理器。并由管理器来对它们进行配置。管理器监控任何来自NT和UNIX网络引擎和代理的报告以及它们的状态。这样管理非常方便，从一个地方就能很容易对它们进行集中的配置和管理。RealSecure管理器随网络引擎和代理一同

37、发布，而且它可作为插件应用于很多不同的网络和系统管理环境。1.6 RealSecure 产品特点：安全的监控系统管理控制台与引擎和代理之间通过密钥进行加密通信和身份识别。引擎在秘密监控方式不会受到攻击威胁，实现自身的安全最小化网络攻击漏洞,在危险发生之前阻止攻击对网络攻击实时响应，包括切断连接和重新配置防火墙。能够被用来收集起诉的证据记录攻击事件以便于回放。业界最广泛的攻击模式识别管理员不需要是安全专家。内置的报告生成管理员会快速收到有结构的网络事件的归纳总结。支持多种网络接口以太网、快速以太网、令牌环网和FDDI。事件响应的在线帮助数据库允许RealSecure被缺少经验的操作

38、者使用，减少所有权和培训的费用。运行在Windows NT和UNIX平台使用RealSecure无须购买特殊的硬件。它可运行在已有的Windows NT和UNIX主机上，并具有从一个主控台监控UNIX和Windows NT弓|擎的能力。监控Windows的网络和TCP/IP传输微软的Windows网络的环境支持允许RealSecure监视违反内部安全策略的事件，包括访问重要服务器上的口令文件或未授权读取被保护的共享资源。对网络传输流无影响RealSecure是完全没有妨碍的。它对网络传输不增加任何延迟。这允许企业扩大网络安全监控范围而不会降低网络速度。1.7 RealSecure可识

39、别的攻击特征：RealSecure Network Engine可识别的攻击特征说明类型拒绝服务攻击为授权访问攻击通过消耗系统资源使II标主机的部分或全部服务功能丧失。例如，SYK FLOOD 攻击，PING FLOOD 攻击，WINNUK 攻击等。攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击,EMAILWIZ攻击等。、一Xin Yuan Computer System Corporation Page:- 30 -类型说明NT事件监控系统login成功、失败，logout,系统重启动等0对未用端口监控监控对未提供服务端口的连接企图，这种连接企图应视为可疑行为。例如，刻未提

40、供FTP服务的主机尝试FTP连接被认为是可疑的Solaris Syslog 事件对远程的UNIX主机进行监控。监控的服务包括IMAP2bis, IP0P3, popper, Sendmail 和 SSH 等。白宗义事件RealSecure System Agent 监控范围类型说明NT事件监控系统login成功、失败，logout,系统重启动等0对未用端口监控监控对未提供服务端口的连接企图，这种连接企图应视为可疑行为。例如，对未提供FTP服务的主机尝试FTP连接被认为是可疑的Solaris Syslog 事件对远程的UNIX主机进行监控。监控的服务包括IMAP2bis, IPOP3, Qpo

41、pper9 Sendmail 和 SSH 等o自定义事件1.8 RealSecure攻击防御过程Xin Yuan Computer System Corporation Page:- 31 -人事Internet外部入侵会计借贷储蓄RealSecure运作示意图如图所示,RealSecure象一个24小时的保安，每个网络引擎通过对流动在指定网段上的信息包进行实时跟踪分析来识别攻击-收集证据来确定是否有非法攻击正在发生。RealSecure代理是通过分析主机日志来识别确认攻击是否成功。当侦测到非法行为，网络引擎立即作出响应,切断非法连接，发送电子邮件或者呼机信号, 记录事件，重新调整防火墙

42、,或者采取其他用户自定义的行动;而RealSecure代理则及时终止用户进程和停止用户帐号，它还能发送警报，记录时间，发送陷阱，发送 EMAIL或执行用户预定义的行动。另外，网络引擎和代理还可以把警告发送给管理器或第三方管理控制台以便以后进一步的管理和分析。两条虚线分别代表内部和外部攻击，当RealSecure发现攻击后立即报警并响应。Xin Yuan Computer System Corporation Page:- 32 -1.9实时监控系统RealSecure对系统的影响Console （控制台：它随时会接收到来自网络引擎和代理的各种信息，把它记录下来并做相应的处理。由于信息量

43、小（根据实际情况会有所变化，处理速度快，所以它对整个系统影响被限制在一个非常有限的范围内，也可以根据网络环境和系统状况进行调整。Agent （代理程序:RealSecure代理是基于主机对RealSecure引擎起补充作用的构件。RealSecure代理是通过分析主机日志来识别,所以其对系统的影响完全取决于系统日志,我们可以通过调整审记来使它达到最佳的工作状态。实践证明，它对系统的影响非常微不足道。一旦发现可疑行为，它会通过网络把事件报告给 Console,由于发送的信息量小，占用网络的资源非常小而且占用的时间短。Netowrk Engine（网络引擎：RealSecure引擎运行在

44、特定的工作站上提供网络入侵检测和响应。每个网络引擎通过对流动在指定网段上的信息包进行跟踪分析来识别攻击、收集证据来确定是否有非法攻击正在发生。它只接受网络上发送给它的信息包,对信息包不做任何的修改和延时,所以它在工作时对网络不产生任何的负担。一旦发现可疑事件或行为，象代理程序一样,它会通过网络把事件报告给 Console,由于发送的信息量小，占用网络的资源非常小而且占用的时间短。1.10 RealSecure软硬件要求RealSecure安装和运行的软硬件要求如下表所示:Xin Yuan Computer System Corporation Page:- 33 -Enfin* 31Lvcunl r ffshm KT第收%】“ “6FUII U kUlirdPJkRC 2 tilXO 1TLFn，y= II 11 上Pcng IIXO IH2P rnt i is 11 11EOilrt &内。(娥二沟wIt 显 l：t Vv 1 内OltiUt 256 mJ , 同150 IB 11 HI土倒 10 由 X1iso n 口，食中M100 K Hl 再 KB 中风 icn nrtkM 电帙化室川s

展开阅读全文