YDN 140-2006
基本信息
标准号: YDN 140-2006
中文名称:网络入侵检测系统技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:390009
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDN 140-2006.Technical Requirement for Network Intrusion Detection System.
1范围
YDN 140规定了网络入侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全、性能指标和物理安全。
YDN 140适用于网络人侵检测系统及相关设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注8期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-2001信息技术设备的安全
GB/T 5271.8-2001信息技术词汇第8部分:安全
GB 9254-1998信息技术设备的无线电骚扰限值和测量方法
GB/T 17618-1998信息技术设备抗扰限值和测量方法
GB/T 18336-2001信息技术安全技术信息技术安全性评估准则
3术语和定义
下列术语和定义适用于本标准。
报警Alert
报警是指网络入侵检测系统在检测到人侵行为时,发布给具有系统管理角色实体的消息。
攻击Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。
自动响应Automated Response
自动响应是指网络人侵检测系统在发现攻击后自发采取的保护行为。
躲避Evasion
躲避是指入侵者发动攻击,而又不希望被发现而采取的行为。
1范围
YDN 140规定了网络入侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全、性能指标和物理安全。
YDN 140适用于网络人侵检测系统及相关设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注8期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-2001信息技术设备的安全
GB/T 5271.8-2001信息技术词汇第8部分:安全
GB 9254-1998信息技术设备的无线电骚扰限值和测量方法
GB/T 17618-1998信息技术设备抗扰限值和测量方法
GB/T 18336-2001信息技术安全技术信息技术安全性评估准则
3术语和定义
下列术语和定义适用于本标准。
报警Alert
报警是指网络入侵检测系统在检测到人侵行为时,发布给具有系统管理角色实体的消息。
攻击Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。
自动响应Automated Response
自动响应是指网络人侵检测系统在发现攻击后自发采取的保护行为。
躲避Evasion
躲避是指入侵者发动攻击,而又不希望被发现而采取的行为。
标准图片预览
标准内容
ICS 33.040.40,33.200
通信技术规定
YDN 140-2006
网络入侵检测系统技术要求
Technical Reguirement for Network Intrusion Detection Svstem2006-07-04发布
2006-07-04实施
中华人民共和国信息产业部发布前
—范围·
规范性引用文件
术语和定义
缩略语
5系统描述
事件产生器,
事件分析器
事件数据库
响应单元·
系统管理·
日志审计
捡测内容·
协设分析
攻击识别
躲避识别
了应方式·
响应方式分类
7.2被动响应方式·
7.3主动响应方式.
8系统管理-
8.1角色管理·
8.2设备管理
8.3规则管理
8.4升级管理
9日志审计
9.1人径检测日志·
9.2系统操作日志·
9.3审计功能
10自身安全
10.1系统安全··
管理安全
KAIKAca-
YDN 140-2006
YDN 140-2006
H性能指标
11.1准确性指标·
11.2效率指标-
11.3系统指标
12物理安全··
附录A(资料性附录)事件分类
参考文献
本标准足网络人侵检测系统系列标准之一。该系列标准的名称预计如下:1.网络人侵检测系统技术要求
2.网络入侵检测系统测试方法
本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:信息业部电信研究院北京启明星辰信息技术有限公司华为技术有限公司
本标准起草人:蒋红卫楚建梅
吴海民
苗福友
TTKAONTKAca-
YDN140-2006
YDN 140-2006
网络入侵检测系统是指从P网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的系统。网络人侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成部分,日前,防火墙是静态安全防御技术,但对网络环境下日新月异的攻击手段缺乏主动的监测和响应,而网络入役检测系统能对网络入侵事件和过程做出实时响应,其和防火墙并列为网络与信息安金的核心设备。
1范围
网络入侵检测系统技术要求
YDN 140-2006
本标准规定了网络人侵检测系统的系统结构、检测内容、响应方式、系统管理、H志审计、白身安全、性能指标和物理安全
本标准适用于网络人侵检测系统及相关设备,2规范性引用文件
下列文件中的条款通过本标准的用而戒为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 4943-2001
GB/T 5271.8-2001
GB 9254-1998
GB/T17618-1998
GB/T 18336-2001
3术语和定义
下列术语和定义适用于本标准。报誉警Alert
信意技术设备的安全
信息技术汇第8部分:安全
信息技术设备的无线电骚扰限值和测量方法信息技术设备抗扰限值和测量方法信息技术安全技术信息技术安全性评估准则报警是指网络人侵检测系统在检测到人侵行为时,发布给具有系统管理角色实休的消息。Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为:自动响应
AutomatedResponse
自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。躲避Evasion
躲避是指人侵者发动攻击,而文不希望被发现而采取的行为。报
False Negatives
漏报是指一个攻击事件未被网络人侵检测系统检测到而造成的错误。1
KAOIKAca
YDN 140-2006
FalsePositives
误报是指系统把定带行为作为人侵攻击而进们报箸,或者把一-种周却的攻击错误报告为另一科种政士面导致系统错误响成。
防火墙
Firewall
在网络之间执行访问控制策略的一个或一纠设备,入侵
Intrusion
同“攻击”含义。
入侵控测
Intrusion Detectior
人侵检测是对人侵行为的发觉。它从IP网络或计算机系统中的若于关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为或遭到入假的迹象。Intrusion Detection System (IDs)入侵检测系统
进行入侵检测并依据既定的策略采取一定响底措施的软件与硬件的组合。:网络入侵检测系统
Network Intrusion Detecion System (NIDs)使用卫网络数据包作为数据源的人侵检测系统,策略 Palicy
人侵检测系统的策略是指对于网络中的攻击事件来取何种啊成方式和响成条件。多个策略构成第勝集。
策略模板PolicyTermplate
入侵检测系统中的策略模板是策略集的表现形式,采用观的名称对策璐集进行区分规则Rule
人侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规则集。
Signature
入偿检谢系统的特征是使人侵检测系统在攻乱行为发土时触发事件的依携:多个特征可以构成特征库。
Stealth
隐藏是指网络人侵检测系统在检测攻击时不为外界所见。2
4缩略语
下列缩略语适用于本标准
5系统描述
Access Control List
Central Processing Unit
Distributed Denial of ServiceDenial of Service
File Transfer Protocol
Hypertext Transfer Protocol
Intermet Protocal
Post Office Protocol: Version 3Simple Mail Transfer ProtocolSimple Network Management ProtocolTransmission Contral Protocol访问控制列表
中央处理单元
分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
互联网协议
邮局协议第3版bzxz.net
简单邮件传输协议
简单网络管理协议
传输控制协议
YDN 140-2006
网络人侵检测系统是指从P网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到人侵的迹象,并依据既定的策略采取一定措施的软件与硬件的组合。按照功能划分,网络人侵检测系统至少要包括4个基本组件:事件产生器、事件分析器、响应单元和事件数据库。网络入侵检测系统的挺架如图1所示。响应单元
输出:高级中畔事件
事件分析器
输出:原雄或低级事件
事产生器
输出:应应或事件
输出:年件的存储位息
事件数据库
输人:原始事件源
p网络
图1网络入侵检测系统的框架
4个组件的关系是:事件产生器的任务是通过监听所处的P网络从而提取关心的事件并转化为一定格式以供其他组件使用;事件分析器接收这些事件,并!分析它们足否是人侵行为,结果依然转化为相应格式的事件:响应单元根据命令系统执行特定行为的事件做出相应响应;事件数据库存储事作以备将来使用。
在网络人侵检测系统框架中,事件产生器、事件分析器和响应单儿通常以应瓜程序的形式出现,而事件数据库则往往以文件或数据流的形式出现。4个组件只是逻辑实体,它们以弃件的形式进行数据交换。3
IKAONIKAca-
YDN 140-2006
以上4个组件是网络人侵检测系统最核心的部分,可以完成最基本的入侵检测功能。但是作为·个完整的网络人侵检测系统,系统管理组件和日志审计组件也是必不可少的。系统管理完成对系统的操作与配置,而日志审计是任何安全设备必须具备的功能。5.1事件产生器
对于网络人侵检测系统来说,件产生器从系统所处的P网络环境中收集事件,并将这些事件转换成一定格式以传送给其它组件。可以说,事件产生器足实时监视网络数据流并依据入侵检测规则产生事件的一种过滤器。
5.2事件分析器
事件分析器分析从事件产生器收到的事件,并经过分析以后产生新的事件传送给其它组件。件分析器既可以是个特征检测工具,用于在一个事件序列中检查是否有已知的攻士特征;也可以足一个统计分析工具,检查现在的事件是否与以前某个事件来自同一个尹件序列;此外,事件分析器还可以是一个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于以后进一步分析。具体检测内容参见第6章。
5.3事件数据库
事件数据库用来临时存储事件,以备系统需要的时候使用。5.4响应单元
响应单元处理收到的事件,并依据策略采取相应的反应措施。具体响应方式参见第7章。
5.5系统管理
负责网络入侵检测系统的管理,主要包括角色管理、设备管理,规则管理和升级管理。真体内容参见第8章。
5.6日志审计
系统应该提供详细日志记录及查询统计功能,目志中计至少包括两部分:操作日志审计和入侵检测日志审计。
具体内容参见第9章。
6检测内容
网络入侵检测系统的主要功能包括以下几方面内容。6.1协设分析
可以对基于TCP/IP的各种协议(如HTTP、FTP、TELNET、SMTP和POP3等)进行分析,解码,并提取特征信息。网络人侵检测系统至少可以识别如下信息:·协议主体
·协议客体
·协议类型
·协议内容
6.2攻击识别
网络攻击一般分为以下5类:信息探测类、拒绝服务类,端虫病毒类,权限获取类和可疑网络活动类4
YDN140-2006
信息探测类:搜集对计算机和网络信息的攻击尝试行为,包括端[扫描、蒲测扫描等:拒绝服务类:破坏计算机和网络资源可用性的攻击行为,包括种DoS,DDaS攻击等。蠕虫病毒类:通过病毒进行的攻击行为,包括蠕虫(即网络病毒)、邮件病毒等。权限获取类:非法获更高权限的攻击行为,包括后门攻士、木马攻计和缓冲区溢出攻击等。可疑网络活动类:不确定,但有可能是攻击的行为,或者用户白定义的网络违规行为。网络人侵检测系统在协议分析的基础上,结合攻击特征模或匹配和异常统计等技术,应能检测出以.F种类中的若干种攻击行为:
6.3躲避识别
躲避是指入侵者发动攻击,而又不希望被发现而采取的行为,而躲避识别则是为对抗网络入慢者的各种躲避行为。为识别躲避行为,网络入侵检测系统应只备如下功能::IP碎片重组:对所监视的网络中的IP碎片包重组后进行分析,防止碎片欺骗。:TCP流重组:对所监视的网络中乱序的TCP流重新排,从而对完整的网络对话进行分析。响应方式
7.1响应方式分类
在检测到人侵攻击后,网络人侵检测系统的响应单元主要有两类响应方式:被动响应方式和士动响应方式。被动响应方式是系统在检测出人侵攻击后只是产牛报警和日志通知具有系统管理角色的实体具体处理工作由此实体完成:主动响应方式是系统在检测出人慢攻击后可以自动对目标系统或者相应网络设备做出修改制止人侵行为。网络人侵检测系统的响应单元应具备以下主动响应方式和被动响应方式中的一种或者多种。7.2被动响应方式
7.2.1报警功能
当系统检测到人侵事件产生时,响应单元应将报警信息以邮件、SNMPTraP、声光告警、焦点窗等形式中的一种或者几种提交具有系统管理角色的实体。报信息至少应包括以下内容:·事件主体
·事件客体
·发生时间
·事件类型
·事件内容
·事件级别
7.2.2 生成日志
当系统检测到人侵事件产生时,响应单元应将人侵串件记录到日志中,日志记录应至少包括以下字段:
·事件主体
·事件客体
、发生时间
事件类型
·事件内容
IKAOIKAca-
YDN140-2006
、事件级别
7.2.3自定义被动响应
为了满足实际需求,系统还可以提供具有系统管理角色的实体以自定义的被动响应方式来响应人侵事件。
7.3主动响应方式
7.3.1联动响应
系统可以通过相应的控制方式和其它网络设备(如路由器、交换机等)或安全系统(如防火墙、漏扫播系统等)进行联动。
与网络设备联动是指系统发现了入侵事件后,通知指定的网络设备(如路由器、交换机等),利用网络设备白身的命令(如ACL控制命令)来修改访问控制策略,对人侵行为进行主动响,如阻断。与安全系统联动是指系统发现了人侵事件后,通知指定的安全系统(如防火墙等),由安全系统执行一些安全措施,对人侵行为进行主动响应。如通知防火墙修改当前访问控制策略以对攻击行为进行阻断。为保证联动安全性,系统应提供与其它网络设备或安全系统之间的身份认证,联动消息也应采取措施保证机密性和完整性。
7.3.2实时切断会适连接
当系统检测到入侵事件后,响应单元可以通过发送特定的阻断信息来实现阻断当前连接。系统应至少支持通过发送TCPReset报文来切断特定的TCP会话连接。7.3.3自定义的响应程序
为了满足实际需求,系统还可以提供具有系统管理角色的实体以白定义的主动响应方式求响应入事件。
8系统管理
网络人侵检测系统的系统管理应包括以下几个部分:角色管理、设备管理、规则管理和升级管理。8.1角色管理
网络人侵检测系统需要采用不固的角色进行管理。网络人侵检测系统应提供一种不同管理角色:用广管理角色、系统管理角色和审计管理角色:,用户管理角色:可以生成、删除系统管理角色的账号,调整系统管理角色对应账号的其体操作权限,但用户管理角色不能调整自身和审计管理角色的权限;*系统管理角色:具有对IDS的管理权限,如:配置入侵检测规则,查若人俊检测志,报警响等权限,但无用户替理和用户系统操作甘志审计功能;,审计管理角色:仅具有对系统操作日志的查看、备份、剧除的权限,并可以进行可选的用广审计配置、审计日志的完整性检查及登陆失败处理。对于所有权限的管理角色,都要有详细的登录记录和操作记录,以备参看。8.2设备管理
系统中具有系统管理角色的实体可以查右网络人侵检测系统的网络接口状态、组件的工作状态,当前的日志文件大小、CPU占用率,内存占用率,存储器占用率以及软硬件版本信息,具有系统管理角色的实体可以配置以上网络人侵检测系统组件的参数以及状态;设置管理接口的通讯参数;启动或者停止系统运行。6
YDN140-2006
具体具有系统管理角色的实体所对应的管理权限可以中具有用户管理角色的实体来设置。8.3规则管理
系统应提供多种定制缺省策略模板,具有系统管理角色的实体可以根据自己的网络情况选择模板或编辑定制策略模板。
具有系统管理角色的实体可以查询当前策略配置:并可以根据要增加,删除与修改人侵检测规则:对系统内置的人侵规则,用户可以根据需要进行修改网络人侵检测系统应尽可能多地为具有系统管理角色的实体提供灵活的人侵规则定制功能,使之可根据自身网络环境及需求对已有规则进行选择,或根据白已的认识定义特征,从而产生新的规则,并确定这些规则的响应方式,使之能够对系统的检测内容和响应方式做到灵活的控制。网络人侵检测系统应能导人导出入侵检测规则。8.4升级管理
网络入侵检测系统应支持系统升级管理,以对抗新的攻击方式和系统漏洞。升级应包括系统软件的升级和对人侵特征库升级两部分。升级方式既要支持手工升级方式,也要支持自动升级方式。9日志审计
网络人侵检测系统应包括人侵检测日志和系统操作H志。9.1入侵检测日志
针对每一个攻击事件,入侵检测日志都要记录其详细的信息,应包括如下字段:·事件主体
·事件客体
·发生时间
·事件类型
*事件内容
*事件级别
其中,事件级别建议参考SYS-LOG的日志输山信息格式利代码,采用通用的8个级别,具体见下表。序号
9.2系统操作日志
LOG_EMERG
LOG_ALERT
LOG_CRIT
LOG_ERR
LOG_WARNING
LOG_NOTICE
LOG_INFO
LOG_DEBUG
紧急事件
重要事件
关键事件
普通事件
警告事件
需注意事件
提示事件
调试信息
针对系统的所有登录以及操作事件,系统都要有详细的记录,应包括如下字段:·操作者
操作时间
IKAONIKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
通信技术规定
YDN 140-2006
网络入侵检测系统技术要求
Technical Reguirement for Network Intrusion Detection Svstem2006-07-04发布
2006-07-04实施
中华人民共和国信息产业部发布前
—范围·
规范性引用文件
术语和定义
缩略语
5系统描述
事件产生器,
事件分析器
事件数据库
响应单元·
系统管理·
日志审计
捡测内容·
协设分析
攻击识别
躲避识别
了应方式·
响应方式分类
7.2被动响应方式·
7.3主动响应方式.
8系统管理-
8.1角色管理·
8.2设备管理
8.3规则管理
8.4升级管理
9日志审计
9.1人径检测日志·
9.2系统操作日志·
9.3审计功能
10自身安全
10.1系统安全··
管理安全
KAIKAca-
YDN 140-2006
YDN 140-2006
H性能指标
11.1准确性指标·
11.2效率指标-
11.3系统指标
12物理安全··
附录A(资料性附录)事件分类
参考文献
本标准足网络人侵检测系统系列标准之一。该系列标准的名称预计如下:1.网络人侵检测系统技术要求
2.网络入侵检测系统测试方法
本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:信息业部电信研究院北京启明星辰信息技术有限公司华为技术有限公司
本标准起草人:蒋红卫楚建梅
吴海民
苗福友
TTKAONTKAca-
YDN140-2006
YDN 140-2006
网络入侵检测系统是指从P网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的系统。网络人侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成部分,日前,防火墙是静态安全防御技术,但对网络环境下日新月异的攻击手段缺乏主动的监测和响应,而网络入役检测系统能对网络入侵事件和过程做出实时响应,其和防火墙并列为网络与信息安金的核心设备。
1范围
网络入侵检测系统技术要求
YDN 140-2006
本标准规定了网络人侵检测系统的系统结构、检测内容、响应方式、系统管理、H志审计、白身安全、性能指标和物理安全
本标准适用于网络人侵检测系统及相关设备,2规范性引用文件
下列文件中的条款通过本标准的用而戒为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 4943-2001
GB/T 5271.8-2001
GB 9254-1998
GB/T17618-1998
GB/T 18336-2001
3术语和定义
下列术语和定义适用于本标准。报誉警Alert
信意技术设备的安全
信息技术汇第8部分:安全
信息技术设备的无线电骚扰限值和测量方法信息技术设备抗扰限值和测量方法信息技术安全技术信息技术安全性评估准则报警是指网络人侵检测系统在检测到人侵行为时,发布给具有系统管理角色实休的消息。Attack
攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为:自动响应
AutomatedResponse
自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。躲避Evasion
躲避是指人侵者发动攻击,而文不希望被发现而采取的行为。报
False Negatives
漏报是指一个攻击事件未被网络人侵检测系统检测到而造成的错误。1
KAOIKAca
YDN 140-2006
FalsePositives
误报是指系统把定带行为作为人侵攻击而进们报箸,或者把一-种周却的攻击错误报告为另一科种政士面导致系统错误响成。
防火墙
Firewall
在网络之间执行访问控制策略的一个或一纠设备,入侵
Intrusion
同“攻击”含义。
入侵控测
Intrusion Detectior
人侵检测是对人侵行为的发觉。它从IP网络或计算机系统中的若于关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为或遭到入假的迹象。Intrusion Detection System (IDs)入侵检测系统
进行入侵检测并依据既定的策略采取一定响底措施的软件与硬件的组合。:网络入侵检测系统
Network Intrusion Detecion System (NIDs)使用卫网络数据包作为数据源的人侵检测系统,策略 Palicy
人侵检测系统的策略是指对于网络中的攻击事件来取何种啊成方式和响成条件。多个策略构成第勝集。
策略模板PolicyTermplate
入侵检测系统中的策略模板是策略集的表现形式,采用观的名称对策璐集进行区分规则Rule
人侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规则集。
Signature
入偿检谢系统的特征是使人侵检测系统在攻乱行为发土时触发事件的依携:多个特征可以构成特征库。
Stealth
隐藏是指网络人侵检测系统在检测攻击时不为外界所见。2
4缩略语
下列缩略语适用于本标准
5系统描述
Access Control List
Central Processing Unit
Distributed Denial of ServiceDenial of Service
File Transfer Protocol
Hypertext Transfer Protocol
Intermet Protocal
Post Office Protocol: Version 3Simple Mail Transfer ProtocolSimple Network Management ProtocolTransmission Contral Protocol访问控制列表
中央处理单元
分布式拒绝服务
拒绝服务
文件传输协议
超文本传输协议
互联网协议
邮局协议第3版bzxz.net
简单邮件传输协议
简单网络管理协议
传输控制协议
YDN 140-2006
网络人侵检测系统是指从P网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到人侵的迹象,并依据既定的策略采取一定措施的软件与硬件的组合。按照功能划分,网络人侵检测系统至少要包括4个基本组件:事件产生器、事件分析器、响应单元和事件数据库。网络入侵检测系统的挺架如图1所示。响应单元
输出:高级中畔事件
事件分析器
输出:原雄或低级事件
事产生器
输出:应应或事件
输出:年件的存储位息
事件数据库
输人:原始事件源
p网络
图1网络入侵检测系统的框架
4个组件的关系是:事件产生器的任务是通过监听所处的P网络从而提取关心的事件并转化为一定格式以供其他组件使用;事件分析器接收这些事件,并!分析它们足否是人侵行为,结果依然转化为相应格式的事件:响应单元根据命令系统执行特定行为的事件做出相应响应;事件数据库存储事作以备将来使用。
在网络人侵检测系统框架中,事件产生器、事件分析器和响应单儿通常以应瓜程序的形式出现,而事件数据库则往往以文件或数据流的形式出现。4个组件只是逻辑实体,它们以弃件的形式进行数据交换。3
IKAONIKAca-
YDN 140-2006
以上4个组件是网络人侵检测系统最核心的部分,可以完成最基本的入侵检测功能。但是作为·个完整的网络人侵检测系统,系统管理组件和日志审计组件也是必不可少的。系统管理完成对系统的操作与配置,而日志审计是任何安全设备必须具备的功能。5.1事件产生器
对于网络人侵检测系统来说,件产生器从系统所处的P网络环境中收集事件,并将这些事件转换成一定格式以传送给其它组件。可以说,事件产生器足实时监视网络数据流并依据入侵检测规则产生事件的一种过滤器。
5.2事件分析器
事件分析器分析从事件产生器收到的事件,并经过分析以后产生新的事件传送给其它组件。件分析器既可以是个特征检测工具,用于在一个事件序列中检查是否有已知的攻士特征;也可以足一个统计分析工具,检查现在的事件是否与以前某个事件来自同一个尹件序列;此外,事件分析器还可以是一个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于以后进一步分析。具体检测内容参见第6章。
5.3事件数据库
事件数据库用来临时存储事件,以备系统需要的时候使用。5.4响应单元
响应单元处理收到的事件,并依据策略采取相应的反应措施。具体响应方式参见第7章。
5.5系统管理
负责网络入侵检测系统的管理,主要包括角色管理、设备管理,规则管理和升级管理。真体内容参见第8章。
5.6日志审计
系统应该提供详细日志记录及查询统计功能,目志中计至少包括两部分:操作日志审计和入侵检测日志审计。
具体内容参见第9章。
6检测内容
网络入侵检测系统的主要功能包括以下几方面内容。6.1协设分析
可以对基于TCP/IP的各种协议(如HTTP、FTP、TELNET、SMTP和POP3等)进行分析,解码,并提取特征信息。网络人侵检测系统至少可以识别如下信息:·协议主体
·协议客体
·协议类型
·协议内容
6.2攻击识别
网络攻击一般分为以下5类:信息探测类、拒绝服务类,端虫病毒类,权限获取类和可疑网络活动类4
YDN140-2006
信息探测类:搜集对计算机和网络信息的攻击尝试行为,包括端[扫描、蒲测扫描等:拒绝服务类:破坏计算机和网络资源可用性的攻击行为,包括种DoS,DDaS攻击等。蠕虫病毒类:通过病毒进行的攻击行为,包括蠕虫(即网络病毒)、邮件病毒等。权限获取类:非法获更高权限的攻击行为,包括后门攻士、木马攻计和缓冲区溢出攻击等。可疑网络活动类:不确定,但有可能是攻击的行为,或者用户白定义的网络违规行为。网络人侵检测系统在协议分析的基础上,结合攻击特征模或匹配和异常统计等技术,应能检测出以.F种类中的若干种攻击行为:
6.3躲避识别
躲避是指入侵者发动攻击,而又不希望被发现而采取的行为,而躲避识别则是为对抗网络入慢者的各种躲避行为。为识别躲避行为,网络入侵检测系统应只备如下功能::IP碎片重组:对所监视的网络中的IP碎片包重组后进行分析,防止碎片欺骗。:TCP流重组:对所监视的网络中乱序的TCP流重新排,从而对完整的网络对话进行分析。响应方式
7.1响应方式分类
在检测到人侵攻击后,网络人侵检测系统的响应单元主要有两类响应方式:被动响应方式和士动响应方式。被动响应方式是系统在检测出人侵攻击后只是产牛报警和日志通知具有系统管理角色的实体具体处理工作由此实体完成:主动响应方式是系统在检测出人慢攻击后可以自动对目标系统或者相应网络设备做出修改制止人侵行为。网络人侵检测系统的响应单元应具备以下主动响应方式和被动响应方式中的一种或者多种。7.2被动响应方式
7.2.1报警功能
当系统检测到人侵事件产生时,响应单元应将报警信息以邮件、SNMPTraP、声光告警、焦点窗等形式中的一种或者几种提交具有系统管理角色的实体。报信息至少应包括以下内容:·事件主体
·事件客体
·发生时间
·事件类型
·事件内容
·事件级别
7.2.2 生成日志
当系统检测到人侵事件产生时,响应单元应将人侵串件记录到日志中,日志记录应至少包括以下字段:
·事件主体
·事件客体
、发生时间
事件类型
·事件内容
IKAOIKAca-
YDN140-2006
、事件级别
7.2.3自定义被动响应
为了满足实际需求,系统还可以提供具有系统管理角色的实体以自定义的被动响应方式来响应人侵事件。
7.3主动响应方式
7.3.1联动响应
系统可以通过相应的控制方式和其它网络设备(如路由器、交换机等)或安全系统(如防火墙、漏扫播系统等)进行联动。
与网络设备联动是指系统发现了入侵事件后,通知指定的网络设备(如路由器、交换机等),利用网络设备白身的命令(如ACL控制命令)来修改访问控制策略,对人侵行为进行主动响,如阻断。与安全系统联动是指系统发现了人侵事件后,通知指定的安全系统(如防火墙等),由安全系统执行一些安全措施,对人侵行为进行主动响应。如通知防火墙修改当前访问控制策略以对攻击行为进行阻断。为保证联动安全性,系统应提供与其它网络设备或安全系统之间的身份认证,联动消息也应采取措施保证机密性和完整性。
7.3.2实时切断会适连接
当系统检测到入侵事件后,响应单元可以通过发送特定的阻断信息来实现阻断当前连接。系统应至少支持通过发送TCPReset报文来切断特定的TCP会话连接。7.3.3自定义的响应程序
为了满足实际需求,系统还可以提供具有系统管理角色的实体以白定义的主动响应方式求响应入事件。
8系统管理
网络人侵检测系统的系统管理应包括以下几个部分:角色管理、设备管理、规则管理和升级管理。8.1角色管理
网络人侵检测系统需要采用不固的角色进行管理。网络人侵检测系统应提供一种不同管理角色:用广管理角色、系统管理角色和审计管理角色:,用户管理角色:可以生成、删除系统管理角色的账号,调整系统管理角色对应账号的其体操作权限,但用户管理角色不能调整自身和审计管理角色的权限;*系统管理角色:具有对IDS的管理权限,如:配置入侵检测规则,查若人俊检测志,报警响等权限,但无用户替理和用户系统操作甘志审计功能;,审计管理角色:仅具有对系统操作日志的查看、备份、剧除的权限,并可以进行可选的用广审计配置、审计日志的完整性检查及登陆失败处理。对于所有权限的管理角色,都要有详细的登录记录和操作记录,以备参看。8.2设备管理
系统中具有系统管理角色的实体可以查右网络人侵检测系统的网络接口状态、组件的工作状态,当前的日志文件大小、CPU占用率,内存占用率,存储器占用率以及软硬件版本信息,具有系统管理角色的实体可以配置以上网络人侵检测系统组件的参数以及状态;设置管理接口的通讯参数;启动或者停止系统运行。6
YDN140-2006
具体具有系统管理角色的实体所对应的管理权限可以中具有用户管理角色的实体来设置。8.3规则管理
系统应提供多种定制缺省策略模板,具有系统管理角色的实体可以根据自己的网络情况选择模板或编辑定制策略模板。
具有系统管理角色的实体可以查询当前策略配置:并可以根据要增加,删除与修改人侵检测规则:对系统内置的人侵规则,用户可以根据需要进行修改网络人侵检测系统应尽可能多地为具有系统管理角色的实体提供灵活的人侵规则定制功能,使之可根据自身网络环境及需求对已有规则进行选择,或根据白已的认识定义特征,从而产生新的规则,并确定这些规则的响应方式,使之能够对系统的检测内容和响应方式做到灵活的控制。网络人侵检测系统应能导人导出入侵检测规则。8.4升级管理
网络入侵检测系统应支持系统升级管理,以对抗新的攻击方式和系统漏洞。升级应包括系统软件的升级和对人侵特征库升级两部分。升级方式既要支持手工升级方式,也要支持自动升级方式。9日志审计
网络人侵检测系统应包括人侵检测日志和系统操作H志。9.1入侵检测日志
针对每一个攻击事件,入侵检测日志都要记录其详细的信息,应包括如下字段:·事件主体
·事件客体
·发生时间
·事件类型
*事件内容
*事件级别
其中,事件级别建议参考SYS-LOG的日志输山信息格式利代码,采用通用的8个级别,具体见下表。序号
9.2系统操作日志
LOG_EMERG
LOG_ALERT
LOG_CRIT
LOG_ERR
LOG_WARNING
LOG_NOTICE
LOG_INFO
LOG_DEBUG
紧急事件
重要事件
关键事件
普通事件
警告事件
需注意事件
提示事件
调试信息
针对系统的所有登录以及操作事件,系统都要有详细的记录,应包括如下字段:·操作者
操作时间
IKAONIKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。