|
随着网络应用的迅速发展,网络安全问题日渐摆上了议事日程。据统计,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。网络犯罪的递增、大量黑客网站的诞生,日益促使人们思考网络安全的重要性。凭借着对网络安全行业的深刻理解,专业的服务器厂商曙光公司推出了曙光GodEye-HIDS主机入侵检测系统。这是目前我国首家通过公安部认证的增强型入侵检测系统。
作为国内高性能计算领域的领导厂商,伴随着“红色网格”计划和10万亿次曙光4000A的问世,曙光在服务器监控系统、服务器管理系统、高速网络捕包设备(863专项)、网格零部件(曙光大规模KVM切换系统)、高频服务器主板(曙光-泰安4880主板)等方面实现了九大核心技术积累,同时,曙光在服务器应用方面也积累了丰富的实战经验,至今曙光产品已经广泛应用在了诸如石油、国家安全、气象、生物等行业。这些都为曙光向更广泛的网络领域进军提供了丰富的资源储备。曙光GodEye-HIDS主机入侵检测系统便是在这种背景下产生的。
根据采集数据源的不同,IDS可分为主机型IDS(Host-basedIDS)和网络型IDS(Network-basedIDS)两种。HIDS和NIDS各具特点,都能发现对方无法检测到的一些入侵行为,可互为补充。发展的趋势是二者逐渐互相融合。
从安全防护的原理上来看,离被防护信息点越近,保护的作用就会越有效。由于部署在被保护主机上,HIDS从空间上满足了网络安全的先决条件;同时,由于监听的是用户的整个访问行为,HIDS可以有效利用操作系统本身提供的功能,结合异常分析,准确报告攻击行为,在时间上保证了网络安全进程实现的过程。因此,HIDS在网络安全防护时空上的优势使之成为网络安全体系的最后防线。
另外,从产品的角度来看,相比较而言,主机型IDS从研发难度、技术支持深度等方面都比较高,因此对厂商提出了更高的要求。目前业界有重网络型轻主机型的现象,有部分原因就在于主机型产品的难度,只有在技术、售前、售后都具备相当实力的厂商才能做好主机型IDS产品。曙光的这套主机型IDS具备防范内部安全风险、看守重要信息文件、监视核心服务进程、有效防止木马后门、主动采取防护措施等六大功能特色可以很好地补充防火墙和网络型IDS的安全盲点。六大功能就好比为服务器安装上了24小时自动工作的闭路监视系统和专用保安系统,无论病毒来自内部还是外部,都可以及时把他抓住。
与其他同类产品相比,曙光GodEye-HIDS主机入侵检测系统在功能设计和技术实现两方面具备了差异点。首先,在功能上除了主机型IDS产品所具备的文件完整性检测和日志分析以外,曙光GodEye-HIDS又实现了服务进程监测、系统资源监测、和用户操作监测三大监测功能,大大提高了主机型IDS的检测能力;同时,他采用了从操作系统内核获取信息的技术,进行系统调用截获,从系统调用的情况来进行操作的安全检测,这种技术拓展了主机型IDS的信息来源,增强了检测的实时性和准确性,是主机型IDS的技术发展趋势。另外,作为增强型的IDS产品,曙光GodEye-HIDS还完全实现了公安部对增强型产品的一系列附加技术要求,包括:系统的分级审计、数据加密能力、关联检测、数据挖掘设计、以及对检测信息的概率统计等等。同时其“主机加密技术”也使其在自身安全方面得到了很好的保证。
| 
