[01076518]网络入侵监测系统

技术成果用途：入侵检测是对计算机网络或计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件或者攻击发生，并给出警报。它是继防火墙之后的又一主要信息安全产品，是防火墙、虚拟专用网的进一步深化。根据所收集信息的来源，入侵检测可分为网络入侵监测和主机入侵检测两大类。北京大学计算机研究所信息安全工程研究中心研制的千兆线速分布式网络入侵检测(原型)系统采用三层结构：网络传感器、区域关联控制服务器、中央观念控制服务器，适用于千兆网络环境，可满足区域化、行业化大规模分布式预警的需要。实现功能：网络入侵检测系统实现了安全事件报警、网络环境感知、安全事件关联分析、监控和配置管理四大功能模块。网络传感器发现流量异常或含有攻击特征的安全事件，产生原始报警。传感器可探测出常见的变形攻击如碎片攻击，以及针对入侵检测系统本身的洪水攻击。网络扫描器主动扫描获得网络配置信息、系统配置信息和应用程序配置信息等网络环境知识，为网络传感器和关联控制服务器提供知识支持。关联分析可结合日常审计事件，对网络扫描器提供的原始报警事件进行抑制、聚合等处理，并通过关联发现隐藏的攻击，同时对攻击者进行跟踪和意图识别。监控和配置管理模块可分别在区域级和中央级监视网络的安全状态，并配置管理相应范围内的安全设备，还可通过多种通知和联动方式，如Email、屏幕显示，和防火墙、防范DDoS的工具的联动等，做出响应。技术水平：该入侵检测系统具有以下技术特色：基于网络处理器(NP)技术实现高性能的网络传感器，达到千兆线速检测。采用NP对传感器进行硬件化。NP与x86CPU相结合构成紧耦合分布式系统，以便分布式执行资源和处理要求各不相同的计算任务。完整而规范的知识库。利用基于XML的通用知识描述语言描述攻防知识，知识包括攻击特征知识、网络协议规范，和操作系统及应用程序的指纹和漏洞知识。融合多种检测技术和抗变形攻击技术，提高检测速度，降低漏报率。检测技术包括特征监测、网络流量异常监测及协议规范异常监测。对抗的变形攻击包括碎片攻击和利用应用协议支持的特性混淆攻击特征。多层次的智能关联分析技术以降低检测的误报率、发现隐藏攻击。合作方式：技术服务。