CN1349328A - 易扩展型网络入侵检测与安全审计系统 - Google Patents
易扩展型网络入侵检测与安全审计系统 Download PDFInfo
- Publication number
- CN1349328A CN1349328A CN 01139038 CN01139038A CN1349328A CN 1349328 A CN1349328 A CN 1349328A CN 01139038 CN01139038 CN 01139038 CN 01139038 A CN01139038 A CN 01139038A CN 1349328 A CN1349328 A CN 1349328A
- Authority
- CN
- China
- Prior art keywords
- audit
- agent
- auditing
- auditing system
- easy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
易扩展型网络入侵检测与安全审计系统由审计Agent,审计中心和审计控制台三部分组成,各部分的硬件设备上各装有一个用于通讯网,使用10/100M乙太网联接,本发明具有实质性特点和显著进步,主要体现在以下几个方面:1、体系架构优越;2、使用硬件检测,效率高;3、系统提供网络资源使用审计;4、远程管理和多人管理方面功能强;5、系统易扩展性考虑充分。
Description
技术领域:本发明涉及的是一种网络安全系统,特别是一种易扩展型网络入侵检测于安全审计系统,属于网络技术领域。
背景技术:最新的eTrust Intrusion Detection产品的企业版增加了集中化地监控多个分布式产品的功能,并可以远程管理,将所选择的信息合并到一个公用的关系型数据库中。Central使网络管理员可以监视和控制一个或多个运行IDS的节点。这可以通过在网络的不同分区(本地或远程)安装SW3 agent来实现,中央节点可以对其它节点进行监控,并可以在不同Agent所收集的信息进行合并的基础上查看和生成报表。该产品在网络入侵检测与安全审计产品上是一个里程碑式的产品,极大的简化了产品的布置、安装及操作维护工作,使产品可以自由组合,组成一个产品系统,相互之间的信息充分共享,达到监控整个目标网络系统的目的。但该产品也有不可克服有问题。首先,该产品是一个纯软件的产品,需要依赖于一个操作系统,一般是Windows NT系统,由于操作系统本身的网络执行效率存在瓶颈,必然带来的后果就是产品也有信息丢失问题,这一点在根本上难以解决。其次,产品系统管理级别不多,本地操作者与中心的操作者具备相同的管理权限,与产品在实际中使用情况不符。另外,产品不具备远程管理功能,虽然管理者可以通过Intranet等操作远程的数据记录,但不能让操作者远离Central机器,这就要求使用者要有不间断的执班制度保证系统运行,产品的操作维护成本相应就比较高。
发明内容:本发明针对现有技术扩展性不强及其他的不足,提供一种易扩展型网络入侵检测于安全审计系统,实现对计算机网络系统全面的审计,并具备灵活的易扩展的特点,适应不同环境的需要,主要是10/100M和1000M的乙太网环境。对于保障我国重要网络的安全性是十分有益的。本发明由审计Agent,审计中心和审计控制台三部分组成,各部分的硬件设备上各装有一个用于通讯网卡,使用10/100M乙太网联接,保证彼此间的通讯畅通。
1.审计Agent:
包括装载在特殊硬件或者通用服务器和PC机上的Agent软件,这些Agent通过网络接入和系统嵌入的方式和实际运行的系统连接。它们采用被动或者主动的方式获取信息,根据配置进行分析后将重要的数据报送到审计中心,并且在某些情况下还将作用于实际运行系统配合响应机制的完成。这些审计Agent是独立运行的软件或模块,根据不同的需求安装在不同的系统中,完成不同的功能。
2、审计中心:
审计中心根据实际的需求构成分层的结构和备份结构对整个审计管理系统的Agent进行管理,并收集各个Agent上报的审计事件,对审计事件进行高层次的分析,提供用户界面,管理审计数据,控制自动响应机制等。它是整个审计管理系统的核心。
3、审计控制台
审计控制台是对整个审计系统进行操控的界面,审计控制台通过连接审计中心来实现对全局审计系统的控制和监视,多个审计控制台可以同时运转,并且有权限的划分,主要实现对整个审计系统所有部件的管理,对各种审计规则进行设置,对审计数据进行浏览和管理,进行管理员身份验证,进行声音报警,对系统运行情况进行监视等。
本发明具有实质性特点和显著进步,主要体现在以下几个方面:
1体系架构优越
本系统的体系架构采用灵活的三层结构,因此可以在这个系统上扩充多种不同类型的Agent,可以实现多个管理控制台同时进行操作和系统监视。系统可以进行的审计不但包括入侵检测功能,还能够让用户自主设定需要保护的资源进行重点审计,并且采用审计API并约定审计类型号的情况下还能够实现一定的应用层审计。这样的体系结构在目前来看十分完整和全面的。
对eTrust Intrusion Detection产品而言,它只实现了两层的体系架构,因此还不能充分灵活地完成在复杂网络中应用与布置。
2使用硬件检测,效率高
目前在业界领先的,带有内容还原功能的IDS软件有ISS公司的Realsecure和CA公司的eTrust Intrusion Detector(以前的SessionWall),这些软件对于在入侵监测功能上和本系统基本相似,但是这些软件在检测效率方面落后于本系统。
Realsecure和Sessionwall均是运行于NT系统上的软件,功能相当于本系统中的网络监听型的入侵检测Agent,但是其检测效率很低,可能是受到NT系统的制约。经过比较Sessionwall在实际流量超过10M时反应已经非常缓慢,而且出现大量漏检,realsecure在网络流量超过50M情况下有漏包现象。本系统中采用经过优化的专门硬件作为网络监听型的Agent的载体,检测效率特别高,经过实测,100M的网探设备在70M实际流量情况下不漏包,远远超过预定地指标。此外还提供1000M网探设备,可以达到600M的无漏包检测。
3系统提供网络资源使用审计
realsecure和sessionwall软件对于网络资源使用审计方面的功能较差,要设定针对某个资源的使用行为进行记录相当麻烦,而且也不能完全实现本系统中的某些功能。本系统中典型应用审计Agent和文件共享审计Agent提供丰富的网络资源审计设置规则,可以有效地实现内部人员使用关键资源的审计。
4远程管理和多人管理方面功能强
由于本系统使用了三层的结构,审计控制台和审计中心可以分离,这样可以实现远程控制台对审计中心的操作,并且可以实现多人的同时管理。这个功能和自动寻呼机相应的功能结合在一齐具备很强的实用性。而realsecure和sessionwall均是两层结构,远程控制能力较差。
5系统易扩展性考虑充分
本系统具备良好的可扩展性,主要体现在以下几个方面:
(1)Agent的可扩展性
系统定义了Agent与审计中心之间的规范接口,可以遵照这个接口规范的开发Agent都可以接入系统。这样,随着Agent种类的不断增多,审计管理系统对整个运行系统的管理也越来越全面。本系统还将提供一些开发Agent用的API,便于今后扩展新的Agent。
(2)审计管理中心的可扩展性
审计管理中心本身随着系统的壮大可以构造成分层的格式。
审计管理中心将提供客户自定义的新的审计事件类型和Agent类型,便于用户对应用层Agent的管理
审计管理中心对于高层数据分析采用plugin接口方式,可以添加新的分析模块,实现特殊日志和数据的分析,提供丰富的决策支持。
对于收集上来的审计事件,系统提供标准接口以插入新的特殊事件处理模块,对入库前的事件进行预处理。
审计管理中心对于新扩充的特殊Agent的配置采用plugin模块的方式,可以配合新Agent加入系统。
(3)定制规则的易扩展性
审计管理中心可以采用多控制台的运行方式,便于多操作员运作方式。定义运行某个特定程序,加上特定参数(可以采用审计管理系统中预定义的变量)定义采用telnet连接执行预定义命令,命令参数可以采用审计管理系统中预定义的变量来动态生成。所有新的响应手段都将有独立的标识和编号,以便定义规则。
附图说明:图1本发明结构示意图
具体实施方式:如图1所示,本发明由审计Agent,审计中心和审计控制台三部分组成。各部分的硬件设备上各装有一个用于通讯网卡,使用10/100M乙太网联接,保证彼此间的通讯畅通。
1.审计Agent:
包括装载在特殊硬件或者通用服务器和PC机上的Agent软件,这些Agent通过网络接入和系统嵌入的方式和实际运行的系统连接。它们采用被动或者主动的方式获取信息,根据配置进行分析后将重要的数据报送到审计中心,并且在某些情况下还将作用于实际运行系统配合响应机制的完成。
这些审计Agent是独立运行的软件或模块,根据不同的需求安装在不同的系统中,完成不同的功能。大致分为5类:
网络监听式审计Agent:安装在专用审计设备硬件、linux系统上,或者通用PC Server的NT操作系统上,通过对网络上传输的数据包进行截获和分析的方式运行。如:入侵检测审计代理,流量监视审计Agent,恶意代码和病毒检测审计Agent,资源访问审计Agent,内部违规操作审计Agent等。
主机操作系统嵌入型审计Agent:安装服务器上,在UNIX或者NT操作系统中,通过收集操作系统日志和内部安全事件的方式运行。如:NT操作系统审计代理,Solaris操作系统审计,HP_UX操作系统审计代理,AIX操作系统审计等。
客户端审计Agent:运行在客户端的PC机上,通常是Win98,Win95操作系统,通过收集用户的窗口操作事件来运作。如:拨号后门审计代理,病毒查杀审计Agent,屏幕备案审计Agent。
主动获取式审计代理:通过主动向预定的目标以标准格式发送请求,接受回应,然后判断的方式运行。如网络设备MIB采样审计Agent,漏洞扫描审计Agent。
应用型审计Agent:本身是一个应用,但能够调用审计API向审计中心发送审计消息,进行报警或通报日常数据。这些审计代理需要在别的应用上开发,如屏幕备案系统的控制中心本身是一个应用型审计代理,再如网页维护审计代理,OA登录系统审计代理,CA发证审计代理等。这些审计Agent需要和应用结合。
2、审计中心:
审计中心根据实际的需求构成分层的结构和备份结构对整个审计管理系统的Agent进行管理,并收集各个Agent上报的审计事件,对审计事件进行高层次的分析,提供用户界面,管理审计数据,控制自动响应机制等。它是整个审计管理系统的核心。
3、审计控制台
审计控制台是对整个审计系统进行操控的界面,审计控制台通过连接审计中心来实现对全局审计系统的控制和监视,多个审计控制台可以同时运转,并且有权限的划分,主要实现对整个审计系统所有部件的管理,对各种审计规则进行设置,对审计数据进行浏览和管理,进行管理员身份验证,进行声音报警,对系统运行情况进行监视等。
多审计Agent结构的入侵检测与安全审计系统,它在结构上具备可伸缩,易扩展的特点,Agent是直接同被审计网络和系统连接的部件,不同的Agent完成不同的功能。Agent将报警数据和需要记录的数据自动报送到中心,并由中心进行统一的调度管理。中心是对整个审计系统的数据进行集中存储和管理,并进行应急响应的专用软件系统,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守情况下长期运行。控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面,系统设计成可以有多个控制台软件同时运行。
Claims (5)
1、一种易扩展型网络入侵检测与安全审计系统,其特征在于由审计Agent,审计中心和审计控制台三部分组成,各部分的硬件设备上各装有一个用于通讯网卡,使用10/100M乙太网联接。
2、根据权利要求1所述的这种易扩展型网络入侵检测与安全审计系统,其特征是审计Agent包括装载在特殊硬件或者通用服务器和PC机上的Agent软件,这些Agent通过网络接入和系统嵌入的方式和实际运行的系统连接。
3、根据权利要求1或2所述的这种易扩展型网络入侵检测与安全审计系统,其特征是审计Agent是独立运行的软件或模块。
4、根据权利要求1所述的这种易扩展型网络入侵检测与安全审计系统,其特征是审计中心根据实际的需求构成分层的结构和备份结构对整个审计管理系统的Agent进行管理,并收集各个Agent上报的审计事件,对审计事件进行高层次的分析,提供用户界面,管理审计数据,控制自动响应机制等。
5、根据权利要求1所述的这种易扩展型网络入侵检测与安全审计系统,其特征是审计控制台是对整个审计系统进行操控的界面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01139038 CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01139038 CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1349328A true CN1349328A (zh) | 2002-05-15 |
| CN1196296C CN1196296C (zh) | 2005-04-06 |
Family
ID=4674969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01139038 Expired - Fee Related CN1196296C (zh) | 2001-12-04 | 2001-12-04 | 易扩展型网络入侵检测与安全审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1196296C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100359495C (zh) * | 2003-09-04 | 2008-01-02 | 上海格尔软件股份有限公司 | 基于数据仓库的信息安全审计方法 |
| CN100380338C (zh) * | 2002-12-19 | 2008-04-09 | 国际商业机器公司 | 主动检测软件窜改的系统和方法 |
| CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101447064B (zh) * | 2008-12-31 | 2012-02-01 | 中国建设银行股份有限公司 | 一种审计管理系统和审计管理方法 |
| CN102497298A (zh) * | 2011-12-19 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种基于流量统计网卡的网络审计设备和方法 |
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN111737332A (zh) * | 2020-06-24 | 2020-10-02 | 四川长虹电器股份有限公司 | 一种采购比价的嵌入式审计系统及方法 |
-
2001
- 2001-12-04 CN CN 01139038 patent/CN1196296C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100380338C (zh) * | 2002-12-19 | 2008-04-09 | 国际商业机器公司 | 主动检测软件窜改的系统和方法 |
| CN100359495C (zh) * | 2003-09-04 | 2008-01-02 | 上海格尔软件股份有限公司 | 基于数据仓库的信息安全审计方法 |
| CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101447064B (zh) * | 2008-12-31 | 2012-02-01 | 中国建设银行股份有限公司 | 一种审计管理系统和审计管理方法 |
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN102685180B (zh) * | 2011-10-18 | 2015-07-08 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN102497298A (zh) * | 2011-12-19 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种基于流量统计网卡的网络审计设备和方法 |
| CN111737332A (zh) * | 2020-06-24 | 2020-10-02 | 四川长虹电器股份有限公司 | 一种采购比价的嵌入式审计系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1196296C (zh) | 2005-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7185366B2 (en) | Security administration server and its host server | |
| US5627886A (en) | System and method for detecting fraudulent network usage patterns using real-time network monitoring | |
| White et al. | Cooperating security managers: A peer-based intrusion detection system | |
| CN113032710A (zh) | 一种综合审计监管系统 | |
| CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
| CN103336510A (zh) | 一种物联网综合运维管理系统 | |
| KR102234514B1 (ko) | 인공지능형 통합 it관제 방법 및 시스템 | |
| CN1564530A (zh) | 网络安全防护的分布式入侵检测与内网监控系统及方法 | |
| White et al. | Cooperating security managers: Distributed intrusion detection systems | |
| CN107563713A (zh) | 一种电子公文系统及其运行监控的方法 | |
| CN101056447A (zh) | 无线通信网网络工况监控装置 | |
| CN107370724A (zh) | 一种分布式云计算系统 | |
| CN113570274A (zh) | 一种资产全过程管理系统 | |
| KR100401088B1 (ko) | 인터넷을 이용한 통합 보안 서비스 시스템 | |
| CN1417690A (zh) | 基于构件的应用过程审计平台系统 | |
| CN1349328A (zh) | 易扩展型网络入侵检测与安全审计系统 | |
| CN112839031A (zh) | 一种工业控制网络安全防护系统及方法 | |
| CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
| CN112688929A (zh) | 一种基于互联网威胁情报的共享系统 | |
| KR20020012855A (ko) | 통합로그 분석 및 관리 시스템 및 그 방법 | |
| CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
| KR20020043994A (ko) | 에이전트 기반의 지능형 보안 시스템 | |
| CN1691023A (zh) | 智能枪支管理系统 | |
| Khobragade et al. | Distributed intrusion detection system using mobile agent | |
| CN110930109A (zh) | 一种基于社会面监控的信息安全系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050406 Termination date: 20181204 |