汉邦入侵检测系统技术评测

    汉邦入侵检测系统（HanBang Intrusion Detection System，简称HBIDS）是汉邦软科集团开发的具有自主知识产权的入侵检测系统。该系统采用了当今流行的入侵检测技术，利用独创的数据包截取技术对网络和主机进行不间断的监测，在扩大网络防御的纵深的同时，运用智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。并且，HBIDS可对自身的数据库进行自动维护，不需要用户的干预，学习和使用比较容易，不会对网络的正常运行造成干扰，配合防火墙系统使用，可以积极有效地保障网络的安全，组成动静结合网络安全防御屏障。

    1、HBIDS主要功能
    控制中心启动后，智能搜索并加入HIDS或NIDS，并提供了手动加入可安全检测的目标主机。HBIDS主要有九类功能：网络攻击与入侵检测功能、入侵实时报警功能、黑名单快速查看功能、黑名单切断连接的功能、主机信息查看功能、系统日志管理功能、身份认证与控制功能、丢包查看功能、指定监控中心功能等。具体功能分类说明如下：

    1):网络攻击与入侵检测功能
    a、 对大部分入侵行为根据攻击程度的轻重，划分为不同的等级，发送报警信息到控制中心。
    b、 HIDS检测到某些恶意TCP连接或ICMP攻击，会主动关闭该连接，同时向攻击主机发送地址不可达等虚假回应包，阻止恶意攻击。
    c、 对恶意的端口扫描攻击，将每一次的扫描信息都详细记录在portscan.txt文件中，该文件保存在HIDS安装目录中，同时向控制中心发送端口扫描报警信息。
    实时监控整个局域网内的网络流动情况，发现有入侵包即可进行报警或切断，并将信息传到监控中心。目前可检测到的入侵有33大类,1100余种入侵行为：
    后门类：可以检测到包括BO2000，Netbus，BIND shell，SubSeven，冰河等在内的数十种后门程序的入侵企图。
    FTP类：可以检测到包括ftp .forward，ftp-nopassword，ftp .rhosts，ftp-site-exec，Aix FTP Buffer Overflow，Tftp可写等数十种入侵企图。
    拒绝服务类：可以检测到包括Ping Of Death、teardrop、UDP flood、SYN flood、Land攻击、Smurf攻击、Fraggle攻击等；分布式拒绝服务攻击包括TFN2K、Trinoo、Trinity、Shaft等在内的多种入侵。
    Finger类：可以检测到包括Finger redirection，FINGER-Bomb，FINGER-Probe等在内的数十种入侵企图。
Netbios类：可以检测到包括NETBIOS-SNMP-NT-UserList，RFParalyze Attempt， NETBIOS-SMB-ADMIN$access，NETBIOS-Samba-clientaccess， NETBIOS-SMB-IPC$access等在内的10数种入侵企图。
    缓冲溢出类：可以检测到包括ttdbserv Solaris Overflow，Sniffit overflow，x86-linux-ntalkd overflow，x86-windows-CSMMail，x86-linux-imapd5，x86-windows-MailMax，POP3-x86bsd等在内的近百种remote和local的入侵企图。
    RPC类：可以检测到包括amountd，cmsd，mountd，pcnfsd，rstatd，admind，sadmind，ttdbserv等在内的数十种入侵企图。
    扫描类：可以检测到包括Nmap tcp ping，NMAP Fingerprint远程操作系统识别，Queso远程操作系统识别，隐蔽扫描，空扫描，碎片扫描等在内的数十种扫描手段。
    SMTP类：可以检测到包括SMTP-expn-decode，SMTP Chameleon Overflow，SMTP-expn-root，SMTP-vrfy-decode，SMTP Relaying Denied等在内的数十种入侵手段。
    CGI类：可以检测到包括phf ，Perlshop，Rguest，rwwwshell等在内的数十种入侵手段。
    ICMP类：含ping类,可以检测到包括Nmap ping，Icmp源路由，Icmp时间戳，Icmp掩码请求等在内的数十种入侵手段。
    TELNET类：可以检测到包括非授权的su，ld_preload等在内的多种入侵手段。
    FrontPage扩展类：检测FrontPage扩展服务器的漏洞，可以检测到包括register.txt，admin.pl等在内的数十种入侵手段。
    IIS类：可以检测到包括showcode，newdsn，SAM Attempt等在内的数十种入侵手段。
    Web的杂项类：检测一些Web相关的不好归类的漏洞，如Lotus Domino的漏洞，Netscape Enterprise Server的漏洞，Piranha等数十种漏洞。
    Misc类：检测snmp类，源路由，traceroute等数十种漏洞。
    其它入侵行为方式在汉邦入侵检测系统（HBIDS）的入侵检测规则对话框中有详细描述。

    2).入侵实时报警功能
    HBIDS1.0入侵检测系统提供了入侵实时报警功能，保证管理员能够及时发觉网络中的入侵行为以作出相应的措施来保护网络的安全；邮件通知使管理员不在管理主机前还是仍然能够及时发觉网络中异常情况。

    3). 黑名单信息查看功能
    HBIDS提供了黑名单查看功能，使管理员可以相当方便地查看到特别关注的一些主机的入侵信息：传感器地址、入侵类型、操作类型、信息内容以及所属的级别等其它有关入侵的信息。

    4).黑名单切断连接的功能
    HBIDS还提供了黑名单切断连接的功能：当管理体员发现有一些黑名单存在的攻击行为可能对内部网络造成危害很大，有可能造成严重的损失，这时管理员可采取与该黑名单彻底的切断连接，这样可使我们的内部网络免受不必要的损失。

    5).主机 信息查看功能
    HBIDS提供了方便的主机信息查看功能，管理员可以随时查看被监测的主机的有关信息，图形化与集中性管理使管理员的工作更加灵活、轻松。

    6).系统日志管理功能
    HBIDS提供了详细的日志管理功能，管理员可以定期或不定期来查看控制中心的日志，管理员也可以定期或不定期的对日志进行管理，这样就使每天工作烦忙的管理人员工作轻松、灵活。

    7).身份控制与认证功能
    HBIDS采用口令验证技术，使系统的访问权限受到了全面控制，不同的用户具有不同的访问权限，对于那些非法的用户不可以使用本系统；管理人员可随时修改用户密码，以避免日久身份泄漏。

    8).丢包查看功能
    HBIDS可以针对网络线路繁忙时或线路中出现故障时造成一些数据包丢失的情况下，将这些数据包进行管理，便于管理员的查看，以及管理；若发现有一些重要数据丢失，可达到能够及时对其采取一些弥补的措施。

    9).指定监控中心的功能
    HBIDS为了方便管理员的管理，若对某个主机特别关注，可任一时间对特定的一台主机或n台主机设定它们的监控中心，可使指定主机作为它们的控制中心，而其它的则不可以成为该主机监控中。

    2、HBIDS主要特点
    我公司经过长时间对国内外同类安全产品研究，HBIDS综合了它们的优点和思路，并采用了多种先进技术，在实用的基础上同时也做到了系统稳定、使用方便、易于管理、易于维护。

    1). 分布式控制机制
    监控网络的拓朴结构可以多样化，可以覆盖局域网和远程网络，控制范围广。

    2).实时的网络通信监测
    记录网络上的数据包，尽量做到实时分析，对网络数据流量很大时，可以根据所记录的数据包进行事后分析。入侵活动可以具有很大的时间跨度和空间跨度，有预谋的入侵活动往往有较周密的策划、试探性和技术性准备，一个入侵活动的各个步骤有可能在一段相当长的时间跨度和相当大的空间跨度之上分别完成，给预警带来困难。事后分析可以将之作为网络行为的证据，不容否定。

    3).通信加密认证
    汉邦入侵检测系统（HBIDS）采用双网卡技术，实现网络监听网卡无IP功能，在引擎各控制中心、各模块间的通信都利用56位的DES和MD5进行了通信加密认证，有效地防止了通信被假冒等情况的发生，保证了系统的健壮性。

    4).适用于多种网络拓朴结构
    系统的安装方便、只需根据网络的物理结构将它连接到交换机的广播口或共享式HUB上即可立即开始工作，而不需要改变网络的物理结构及网络逻辑划分和配置，原有网络拓朴结构依然完好无损，网络通信也无任何影响。

    5).高效的数据截取技术
    系统从内核中接收网络及主机所传数据，减少了一些不必要的中间环节，缩短了系统的调用时间，从而提高了截取数据包的速度，系统的运行效率高可以监测高速网络，丢包率很底。

    6).友好的中文图形管理界面
    系统基于Windows提供的一系列的中文图形化管理工具，使一切信息查看、管理和配置都变得极其方便，简单易学。所有的攻击和入侵都使用中文，使人一目了然。适用于计算机专业与非专业人士的使用。