CN1196296C - 易扩展型网络入侵检测与安全审计系统 - Google Patents
易扩展型网络入侵检测与安全审计系统 Download PDFInfo
- Publication number
- CN1196296C CN1196296C CN 01139038 CN01139038A CN1196296C CN 1196296 C CN1196296 C CN 1196296C CN 01139038 CN01139038 CN 01139038 CN 01139038 A CN01139038 A CN 01139038A CN 1196296 C CN1196296 C CN 1196296C
- Authority
- CN
- China
- Prior art keywords
- audit
- agent
- data
- center
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
一种易扩展型网络入侵检测与安全审计系统,由审计Agent、审计中心和审计控制台三部分组成,审计Agent包括网络监听式审计Agent、主机操作系统嵌入式审计Agent、客户端审计Agent、主动获取式审计Agent和应用型审计Agent这5类审计Agent,采用网络监听方式、主机操作系统日志收集方式、主动获取方式、被动数据接收方式进行分布式数据采集,审计控制台是对所述网络入侵检测与安全审计系统进行操控的界面,通过连接审计中心,对整个审计系统所有组成部件进行集中管理、审计规则设置、报警、审计数据浏览和管理、整个系统运行情况进行监视。本发明系架构优越、使用硬件检测,效率高、系统提供网络资源使用审计、远程管理和多人管理方面功能强、系统易扩展性考虑充分。
Description
技术领域:本发明涉及的是一种网络安全系统,特别是一种易扩展型网络入侵检测与安全审计系统,属于网络技术领域。
背景技术:美国CA公司最新的eTrust Intrusion Detection产品的企业版增加了集中化地监控多个分布式产品的功能,并可以远程管理,将所选择的信息合并到一个公用的关系型数据库中。Central部件使网络管理员可以监视和控制一个或多个运行IDS的节点。这可以通过在网络的不同分区(本地或远程)安装SW3agent来实现,中央节点可以对其它节点进行监控,并可以在不同Agent所收集的信息进行合并的基础上查看和生成报表。该产品在网络入侵检测与安全审计产品上是一个里程碑式的产品,极大的简化了产品的布置、安装及操作维护工作,使产品可以自由组合,组成一个产品系统,相互之间的信息充分共享,达到监控整个目标网络系统的目的。但该产品也有不可克服有问题。首先,该产品是一个纯软件的产品,需要依赖于一个操作系统,一般是Windows NT系统,由于操作系统本身的网络执行效率存在瓶颈,必然带来的后果就是产品也有信息丢失问题,这一点在根本上难以解决。其次,产品系统管理级别不多,本地操作者与中心的操作者具备相同的管理权限,与产品在实际中使用情况不符。另外,产品不具备远程管理功能,虽然管理者可以通过Intranet等操作远程的数据记录,但不能让操作者远离Central机器,这就要求使用者要有不间断的执班制度保证系统运行,产品的操作维护成本相应就比较高。
发明内容:本发明针对现有技术扩展性不强及其他的不足,提供一种易扩展型网络入侵检测与安全审计系统,实现对计算机网络系统全面的审计,并具备灵活的易扩展的特点,适应不同环境的需要,主要是10/100M和1000M的以太网环境。对于保障我国重要网络的安全性是十分有益的。本发明由审计Agent,审计中心和审计控制台三部分组成,各部分的硬件设备上各装有一个用于通讯网卡,使用10/100M以太网连接,保证彼此间的通讯畅通。
1.审计Agent:
包括装载在特殊硬件或者通用服务器和PC机上的Agent软件,这些Agent通过网络接入和系统嵌入的方式和实际运行的系统连接。它们采用被动或者主动的方式获取信息,根据配置进行分析后将重要的数据报送到审计中心,并且在某些情况下还将作用于实际运行系统配合响应机制的完成。这些审计Agent是独立运行的软件或模块,根据不同的需求安装在不同的系统中,完成不同的功能。
2、审计中心:
审计中心根据实际的需求构成分层的结构和备份结构对整个审计管理系统的Agent进行管理,并收集各个Agent上报的审计事件,对审计事件进行高层次的分析,提供用户界面,管理审计数据,控制自动响应机制等。它是整个审计管理系统的核心。
3、审计控制台
审计控制台是对整个审计系统进行操控的界面,审计控制台通过连接审计中心来实现对全局审计系统的控制和监视,多个审计控制台可以同时运转,并且有权限的划分,主要实现对整个审计系统所有部件的管理,对各种审计规则进行设置,对审计数据进行浏览和管理,进行管理员身份验证,进行声音报警,对系统运行情况进行监视等。
本发明具有实质性特点和显著进步,主要体现在以下几个方面:
1、体系架构优越
本系统的体系架构采用灵活的三层结构,因此可以在这个系统上扩充多种不同类型的Agent,可以实现多个管理控制台同时进行操作和系统监视。系统可以进行的审计不但包括入侵检测功能,还能够让用户自主设定需要保护的资源进行重点审计,并且采用审计API并约定审计类型号的情况下还能够实现一定的应用层审计。这样的体系结构在目前来看十分完整和全面的。
对eTrust Intrusion Detection产品而言,它只实现了两层的体系架构,因此还不能充分灵活地完成在复杂网络中应用与布置。
2、多数据源、多种方式的数据收集
本系统在数据采集方式上采用了多种方式,有基于网络监听方式、主机操作系统日志收集方式、主动获取方式、被动数据接收方式等,数据来源比较丰富,能够根据不同环境的需要,采用相应的数据采集方式。由于在一套系统中采用了多种数据采集方式,可以获取系统中多个层次的数据收集,有利于获取一个安全事件的多层次数据,并进行相应的综合关联分析。
3、安全策略的分层定制与安全事件的分层智能处理
安全策略是定义系统处理各类信息、以及识别安全事件的一系列规则。本系统的安全策略涉及审计中心的安全事务处理和各类审计Agent的运行,分为两个层次:高层安全策略是宏观安全策略,主要定义审计中心安全事务处理的规则及安全审计自动响应机制;低层安全策略是详细安全策略,定义各审计Agent的安全事件识别方法以及安全审计自动响应机制。安全策略由高层向低层、由审计监管中心向各个Agent分发过程。
低层安全策略较为简单,各审计Agent可以根据这些低层安全策略比较快地判断出一些特征直观的常见的安全事件,并根据低层安全策略中定义的安全审计自动响应机制,作用于发生安全问题的系统,不需要经过审计中心就能够及时控制和解决安全事件。对于某些需要综合多个数据源的原始数据进行综合分析才能判断出是否有安全事件发生的情况,各审计Agent判断出这些原始数据不够完整,根据低层安全策略不足以判定出结果,本发明中所描述的系统会将这些数据上报审计中心,由审计中心根据高层安全策略即宏观安全策略对来自多个审计Agent的审计数据进行高层次的关联性综合分析,如有异常,则根据高层安全策略中定义的安全自动响应机制进行处理。
4、使用硬件检测,效率高
目前在业界领先的,带有内容还原功能的IDS软件有ISS公司的Realsecure和CA公司的eTrust Intrusion Detector(以前的SessionWall),这些软件在入侵监测功能上和本系统基本相似,但是这些软件在检测效率方面落后于本系统。
Realsecure和eTrust Intrusion Detector均是运行于NT系统上的软件,功能相当于本系统中的网络监听型的入侵检测Agent,但是其检测效率很低,可能是受到NT系统的制约。经过比较eTrust Intrusion Detector在实际流量超过10M时反应已经非常缓慢,而且出现大量漏检,realsecure在网络流量超过50M情况下有漏包现象。本系统中采用经过优化的专门硬件作为网络监听型的Agent的载体,检测效率特别高,经过实测,100M的网探设备在70M实际流量情况下不漏包,远远超过预定地指标。此外还提供1000M网探设备,可以达到600M的无漏包检测。
5、系统提供网络资源使用审计
realsecure和eTrust Intrusion Detector软件对于网络资源使用审计方面的功能较差,要设定针对某个资源的使用行为进行记录相当麻烦,而且也不能完全实现本系统中的某些功能。本系统中典型应用审计Agent和文件共享审计Agent提供丰富的网络资源审计设置规则,可以有效地实现内部人员使用关键资源的审计。
6、远程管理和多人管理方面功能强
由于本系统使用了三层的结构,审计控制台和审计中心可以分离,这样可以实现远程控制台对审计中心的操作,并且可以实现多人的同时管理。这个功能和自动寻呼机相应的功能结合在一齐具备很强的实用性。而realsecure和sessionwall均是两层结构,远程控制能力较差。
7、系统易扩展性考虑充分
本系统具备良好的可扩展性,主要体现在以下几个方面:
(1)Agent的可扩展性
系统定义了Agent与审计中心之间的规范接口,遵照这个接口规范开发的Agent都可以接入系统。这样,随着Agent种类的不断增多,审计管理系统对整个运行系统的管理也越来越全面。本系统还将提供一些开发Agent用的API,便于今后扩展新的Agent。
(2)审计管理中心的可扩展性
审计管理中心本身随着系统的壮大可以构造成分层的格式。
审计管理中心将提供客户自定义的新的审计事件类型和Agent类型,便于用户对应用层Agent的管理
审计管理中心对于高层数据分析采用plugin接口方式,可以添加新的分析模块,实现特殊日志和数据的分析,提供丰富的决策支持。
对于收集上来的审计事件,系统提供标准接口以插入新的特殊事件处理模块,对入库前的事件进行预处理。
审计管理中心对于新扩充的特殊Agent的配置采用plugin模块的方式,可以配合新Agent加入系统。
(3)定制规则的易扩展性
审计管理中心可以采用多控制台的运行方式,便于多操作员运作方式。定义运行某个特定程序,加上特定参数(可以采用审计管理系统中预定义的变量)定义采用telnet连接执行预定义命令,命令参数可以采用审计管理系统中预定义的变量来动态生成。所有新的响应手段都将有独立的标识和编号,以便定义规则。
附图说明:图1本发明结构示意图
具体实施方式:如图1所示,本发明由审计Agent,审计中心和审计控制台三部分组成。各部分的硬件设备上各装有一个用于通讯网卡,使用10/100M以太网连接,保证彼此间的通讯畅通。
1.审计Agent:
包括装载在特殊硬件或者通用服务器和PC机上的Agent软件,这些Agent通过网络接入和系统嵌入的方式和实际运行的系统连接。它们采用被动或者主动的方式获取信息,根据配置进行分析后将重要的数据报送到审计中心,并且在某些情况下还将作用于实际运行系统配合响应机制的完成。
这些审计Agent是独立运行的软件或模块,根据不同的需求安装在不同的系统中,完成不同的功能。大致分为5类:
网络监听式审计Agent:安装在专用审计设备硬件、linux系统上,或者通用PC Server的NT操作系统上,通过对网络上传输的数据包进行截获和分析的方式运行。如:入侵检测审计代理,流量监视审计Agent,恶意代码和病毒检测审计Agent,资源访问审计Agent,内部违规操作审计Agent等。
主机操作系统嵌入型审计Agent:安装服务器上,在UNIX或者NT操作系统中,通过收集操作系统日志和内部安全事件的方式运行。如:NT操作系统审计代理,Solaris操作系统审计,HP_UX操作系统审计代理,AIX操作系统审计等。
客户端审计Agent:运行在客户端的PC机上,通常是Win98,Win95操作系统,通过收集用户的窗口操作事件来运作。如:拨号后门审计代理,病毒查杀审计Agent,屏幕备案审计Agent。
主动获取式审计代理:通过主动向预定的目标以标准格式发送请求,接受回应,然后判断的方式运行。如网络设备MIB采样审计Agent,漏洞扫描审计Agent,这两种审计Agent的实现原理如下:
√采用SNMP协议,对支持SNMP的网络设备、主机设备和安全设备进行状态轮询。
√采用WMI协议,对Windows系列的主机状态进行轮询。
√采用TCP连接尝试,UDP探测的方法,获得主机开放的端口以及服务响应时间等信息。
√采用HTTP等协议,对支持HTTP访问的服务进行轮询,获取某些状态数据,发现页面改变情况。
√采用telnet、rlogin、ssh类的远程操作,运行定制的脚本,获取有关信息。
√采用Ping、traceroute类的探测方式,发现网络设备/端口的运行异常情况。
√采用远程查询数据库方式,对采用数据库记录日志信息的系统进行信息采集
√有针对性地采用远程漏洞扫描的方式,发出扫描信息,收集系统弱点状况。
应用型审计Agent:本身是一个应用,但能够调用审计API向审计中心发送审计消息,进行报警或通报日常数据。这些审计代理需要在别的应用上开发,如屏幕备案系统的控制中心本身是一个应用型审计代理,再如网页维护审计代理,OA登录系统审计代理,CA发证审计代理等。这些审计Agent需要和应用结合。
2、审计中心:
审计中心根据实际的需求构成分层的结构和备份结构对整个审计管理系统的Agent进行管理,并收集各个Agent上报的审计事件,对审计事件进行高层次的分析,提供用户界面,管理审计数据,控制自动响应机制等。它是整个审计管理系统的核心。
3、审计控制台
审计控制台是对整个审计系统进行操控的界面,审计控制台通过连接审计中心来实现对全局审计系统的控制和监视,多个审计控制台可以同时运转,并且有权限的划分,主要实现对整个审计系统所有部件的管理,对各种审计规则进行设置,对审计数据进行浏览和管理,进行管理员身份验证,进行声音报警,对系统运行情况进行监视等。
多审计Agent结构的入侵检测与安全审计系统,它在结构上具备可伸缩,易扩展的特点,Agent是直接同被审计网络和系统连接的部件,不同的Agent完成不同的功能。Agent将报警数据和需要记录的数据自动报送到中心,并由中心进行统一的调度管理。中心是对整个审计系统的数据进行集中存储和管理,并进行应急响应的专用软件系统,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守情况下长期运行。控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面,系统设计成可以有多个控制台软件同时运行。
Claims (2)
1、一种易扩展型网络入侵检测与安全审计系统,其特征在于,所述网络入侵检测与安全审计系统由审计Agent、审计中心和审计控制台三部分组成,所述三个组成部件之间的数据传送关系是审计Agent与审计中心进行数据交互,审计中心与审计控制台进行数据交互;所述审计Agent包括网络监听式审计Agent、主机操作系统嵌入式审计Agent、客户端审计Agent、主动获取式审计Agent和应用型审计Agent这5类审计Agent,采用网络监听方式、主机操作系统日志收集方式、主动获取方式、被动数据接收方式进行分布式数据采集,审计Agent根据低层安全策略进行判断,并根据低层安全策略中定义的安全审计自动响应机制,作用于发生安全问题的系统,及时控制和解决安全事件,将审计数据上报到审计中心;所述审计中心负责对所述审计Agent进行集中管理,收集各个审计Agent上报的数据,对审计Agent根据低层安全策略不足以作出正确判断的数据,由审计中心根据高层安全策略对来自多个审计Agent的审计数据进行高层次的关联性综合分析,根据高层安全策略中定义的安全审计自动响应控制机制进行处理;所述审计控制台是对所述网络入侵检测与安全审计系统进行操控的界面,通过连接审计中心,对整个审计系统所有组成部件进行集中管理、审计规则设置、报警、审计数据浏览和管理、整个系统运行情况进行监视。
2、根据权利要求1所述的这种易扩展型网络入侵检测与安全审计系统,其特征是,所述的主动获取式审计Agent包括主动获取式审计Agent包括网络设备MIB采样审计Agent和漏洞扫描审计Agent,通过主动向预定的目标以标准通信协议格式发送请求,从接收到的回应数据包中获取审计数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01139038 CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01139038 CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1349328A CN1349328A (zh) | 2002-05-15 |
CN1196296C true CN1196296C (zh) | 2005-04-06 |
Family
ID=4674969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01139038 Expired - Fee Related CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1196296C (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7305564B2 (en) * | 2002-12-19 | 2007-12-04 | International Business Machines Corporation | System and method to proactively detect software tampering |
CN100359495C (zh) * | 2003-09-04 | 2008-01-02 | 上海格尔软件股份有限公司 | 基于数据仓库的信息安全审计方法 |
CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
CN101447064B (zh) * | 2008-12-31 | 2012-02-01 | 中国建设银行股份有限公司 | 一种审计管理系统和审计管理方法 |
CN102685180B (zh) * | 2011-10-18 | 2015-07-08 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
CN102497298B (zh) * | 2011-12-19 | 2015-04-01 | 曙光信息产业(北京)有限公司 | 一种基于流量统计网卡的网络审计设备和方法 |
CN111737332A (zh) * | 2020-06-24 | 2020-10-02 | 四川长虹电器股份有限公司 | 一种采购比价的嵌入式审计系统及方法 |
-
2001
- 2001-12-04 CN CN 01139038 patent/CN1196296C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1349328A (zh) | 2002-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7185366B2 (en) | Security administration server and its host server | |
White et al. | Cooperating security managers: A peer-based intrusion detection system | |
US8209759B2 (en) | Security incident manager | |
US7231403B1 (en) | System and method for transformation and analysis of messaging data | |
CN109327461A (zh) | 分布式资产识别及变更感知方法与系统 | |
KR102033169B1 (ko) | 지능형 보안로그 분석방법 | |
CN100359495C (zh) | 基于数据仓库的信息安全审计方法 | |
CN101176331A (zh) | 计算机网络入侵检测系统和方法 | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
CN1415099A (zh) | 在线阻挡有害信息的系统和方法及其计算机可读介质 | |
CN108769289A (zh) | 一种网络地址资源可视化管理系统 | |
White et al. | Cooperating security managers: Distributed intrusion detection systems | |
CN1196296C (zh) | 易扩展型网络入侵检测与安全审计系统 | |
CN102035895A (zh) | 基于http协议分析的网站监管方法 | |
CN1417690A (zh) | 基于构件的应用过程审计平台系统 | |
CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
CN107370724A (zh) | 一种分布式云计算系统 | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
KR20020012855A (ko) | 통합로그 분석 및 관리 시스템 및 그 방법 | |
CN112565202A (zh) | 一种用于视频网系统的物联网准入网关 | |
CN116939589A (zh) | 一种基于校园无线网的学生上网监控系统 | |
KR20020043994A (ko) | 에이전트 기반의 지능형 보안 시스템 | |
CN1178951A (zh) | 专用分组过滤防火墙 | |
CN1175350C (zh) | 主机性能监测及自动反应系统 | |
CN115426128A (zh) | 基于日志分析的实时监控绕过堡垒机登录设备异常行为方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050406 Termination date: 20181204 |