本文目录一览:
入侵检测的厂家
天融信入侵检测系统
随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,在网络带来高效和快捷的同时,网络攻击的多样化发展和带宽的爆发式增长对网络安全产品的处理性能和检测的精准性提出了更高的要求。天融信公司自主研发的网络卫士入侵检测系统(以下简称TopSentry产品)采用旁路部署方式,能够实时检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500种网络攻击行为。TopSentry产品还具有应用协议智能识别、P2P流量控制、网络病毒检测、恶意网站监测和内网监控等功能,为用户提供了完整的立体式网络安全检测监控。
快速的处理性能是对网关产品的基本要求,特别对处理应用层数据的入侵检测产品要求更为严苛。TopSentry产品全系列采用天融信独有的专利多核处理硬件平台,基于先进的SmartAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,实现了对网络数据流的高性能实时检测,使TopSentry满检速率达到了10Gbps。
准确的识别网络攻击行为是入侵检测产品的核心价值所在。TopSentry产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断网络入侵行为,可以准确地发现各种网络攻击。天融信公司的安全攻防实验室(以下简称TopLabs)是国家攻击检测漏洞库的创立单位,同时也是国家应急响应支撑服务单位和国家定点博士后工作站, 拥有专业的高素质技术研究人员,通过不断跟踪、研究、分析最新发现的安全漏洞,形成具有自主知识产权的攻击检测规则库,确保TopSentry产品拥有准确的检测能力。该规则库已通过国际权威组织CVE的兼容性认证,并保持至少每周一次的更新频率。
稳定是入侵检测产品的基础。TopSentry产品由天融信公司的防火墙研发团队研发,采用与防火墙产品相同的多核处理硬件平台和天融信自主知识产权的TOS(Topsec Operating System)系统,传承了天融信公司十六年来不断积累的网关产品技术经验;TopSentry在银行、电信、保险、电力等多行业有大规模部署实例,具备高稳定性和高可靠性,能够在各种网络环境下持续稳定的识别各种入侵行为,为用户提供安全防护规划提供更详实的依据。
山西交通安全质量监督局的网站为什么打不开
一般线路的故障比较多,再一个就是网站有可能被黑了、。下面是关于一些网站防黑和安全方面的建议!
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑,被攻击。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
国外主流的ITS(智能交通系统)厂家有哪些
主流的ITS系统有三大系统,分别是SCOOT,SCATS,TRANSYT.
1.SCOOT(Split, Cycle and Offset Optimization Technique: 绿信比、周期和相位差优化技术)是由英国运输研究所(TRL--Transport Research Laboratory, 90年代TRRL改名为TRL)在TRANSYT基础上研制的自适应控制系统,该系统于1975年研制成功,并在英国城市Glasgo进行现场试验,取得了较好的效果。上个世纪90年代SCOOT系统进行了多次升级,其最新版本为4.4版,其版权为TRL、PEEK公司和西门子公司共同拥有。SCOOT已经历了二十多年的发展,全世界共有超过170个城市正运行着该系统。
2.SCATS(Sydney Coordinated Adaptive Traffic System,简称SCATS,或简称SCATS系统)悉尼自适应交通控制系统,由澳大利亚新南威尔士州道路交通局(RTA)研究开发,是目前世界上少有的几个先进的城市信号交通控制系统之一。
3.TRANSYT系统是一种脱机配时优化的定时控制系统,全称是(Traffic Network Study Tool)“交通网络研究工具”,是定时式脱机操作交通信号控制系统,这一方法最初是由英国道路交通研究所(TRRL)的D-I罗伯逊先生于1966年提出的。
厂家其实不是固定的,很多厂家都卖,只是版权归某几个企业所有。也可以找代理公司去咨询或购买这些产品。
IDS 驱动程序是什么?????
智能驱动系统IDS
IDS从诞生之日起,便不断为提高自身的性能以适应迅速增长的网络流量而努力。中国的千兆IDS是启明星辰公司首家推出并通过权威部门的测试认证的,这是其“六年磨一剑”的体现,是一种技术上的大突破。但是这是需要一个过程的,没有大规模应用的基础,没有广泛的经验积累,没有持续的技术研究,也不可能“忽如一夜春风来,千树万树梨花开”。那么广泛宣传的千兆IDS必然存在着鱼目混珠,我们来看看这其中的亮点和谎言。
千兆IDS几大亮点
1、“零拷贝”
“零拷贝”是今年的国内入侵检测厂商一大流行词。
其技术原理如下:
传统的处理网络数据包的方式由于网卡驱动程序运行在内核空间,当网卡收到包以后,包会存放在内核空间内,由于上层应用运行在用户空间,无法直接访问内核空间,因此要通过系统调用往上层应用系统送,这时候会发生一次复制过程。同时这个过程常常还伴随着一次从抓包库到检测引擎的复制过程。如果对于一般应用来说,很少的操作来处理网络通信,这样的系统开销还可以忍受,但是对于入侵检测系统这样大量读取网络数据包的应用来说,这样的开销就很难忍受了。
“零拷贝”技术是指网卡驱动程序共享一段内存区域,当网卡抓到数据包以后直接写到共享内存,这样的一个处理过程减少了至少一次复制。同时减少了一次网卡驱动程序向用户空间复制网络数据包的系统调用。而一次系统调用的开销其实是相当大的,对于入侵检测系统来说由于要频繁地跟内核空间的网卡驱动程序打交道,因此按传统方法会造成大量的系统调用,从而导致系统的性能下降。但是采用了“零拷贝”技术后有效的避免了这一点。
“零拷贝”是不是就是千兆IDS?其实从上面的技术原理我们就可以很清晰的看出,“零拷贝”的应用对高流量下的入侵检测来说确实是一个技术上的突破,表现形式是专用的网卡驱动程序。但是本质上说来,“零拷贝”解决的是抓包带来的性能问题,而对千兆IDS来说,抓包是一个制约因素,但对数据包的分析又是另外一个制约因素,“零拷贝”只解决了其中一个方面,所以仅仅只有“零拷贝”技术并不是千兆IDS。
因此,我们在看到如果某个入侵检测产品仅仅是多了一个专用的网卡驱动程序,那么还不能称为千兆IDS。
2、“负载均衡”
单机无法解决的问题,人们通常首先会想到叠加的方法,于是有了负载均衡;“负载均衡”是应对单个处理设备在超出了处理能力的高流量环境下,将负荷均衡到多个处理设备上来分摊处理,一般用于路由器、防火墙、应用服务器等重要的网络干网设备,应用于IDS也是一种解决方案。
负载均衡虽然一定程度上解决了高速网络环境的检测问题,但仍然不是最佳的解决方案,因为有几个问题是负载均衡技术必须面对和解决的:
一般情况,负载均衡器是按照某种规则(如协议或者IP地址)来分流数据,那么当来自于一个IP地址的数据或某种应用服务流量突然增加的时候,负载均衡器如果不能够智能地进行分流,则对口负责的 IDS则不堪重负;如果负载均衡器又做了流量均衡,混在其中攻击信息也有可能被分流,而对应的IDS又可能没有配置相应的攻击检测策略而漏过检测。
此外,对于判断不同攻击模式之间的行为关联性,由于分流也将无法识别。最后,目前的负载分流一般是利用专用硬件设备,其主要提供商是国外厂家,其价格自然不菲,再加上多个百兆入侵检测,一方面占用更多的机架空间,管理麻烦;另一方面,用户额外安全投资也增加了
靠把千兆流量分流到多个百兆IDS只是在没有真正意义上千兆IDS出现前的一种解决方案,千兆防火墙的发展也证明了这点。于是人们的目光还是回到了入侵检测的技术本身的提高上来。否则等到万兆级别的网络出现,是不是还要来多个万兆负载均衡的IDS呢?
3、“协议分析”
“协议分析”应当是目前绝大多数IDS所宣称采用的。协议分析的原理就是根据现有的协议模式,到固定的位置取值而不是一个个的去比较,然后根据取得的值来判断其协议以及实施下一步分析动作。其作用十分类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还可以避免了单纯模式匹配带来的误报。
对千兆IDS 来说,协议分析不仅仅是判断是什么协议那么简单了。要提高其性能和准确性,必须做到更深层次的协议分析,如:高层协议的数据字段的取值。因此,千兆IDS 采用的“协议分析”,就是要求更为完整的协议分析,尽可能的缩减模式匹配的范围。
4、“匹配算法”
现有的商业入侵检测系统在做完了协议分析后,接下来就是如何去进行模式匹配了。模式匹配就是进行字符串的比较,这就涉及到一个算法的问题。因此,一般在千兆IDS中都会声称其采用了高效的算法。这个高效的算法通常就是BM算法(或改进的)。这种算法是字符串匹配领域十分常用的方法,广泛的应用于文本编辑器的字符串搜索之中,可以有效的提高单条规则匹配报文的匹配效率。
没有采高效算法的入侵检测的效率是无法想象的,但是在千兆的高速流量下,单纯的单条规则匹配报文的匹配效率提高也不能完全适应其要求,特别是现在的入侵检测的规则模式在不断增加,对每一个数据包其可能要匹配的次数也在不断增加,因此其性能也无法完全满足。
真正的高效是要结合“匹配算法”和“规则结构”,做到匹配效率和规则数量的无关性,甚至规则越多,效率越高。从目前看来,真正在这方面的突破是体现在启明星辰的“天阗”千兆入侵检测系统上的。
5、“高性能硬件”
软件的表现要依赖其所处的硬件平台,国内的入侵检测产品往往将其引擎安装在固定的硬件设备上。因此,从外观上,千兆IDS比百兆IDS显的更上档次,从内部配置上,其CPU、内存等重要部件上规格也更高一些。例如,采用多CPU 方式是可以把多个线程分配到不同的CPU上处理来提高性能。采用“高性能硬件”是可以进一步提高入侵检测的能力,但绝对不是主要因素。因此,如果发现某个千兆入侵检测产品只是比百兆入侵检测多了一块千兆网卡,硬件配置又高一些,那就不要把其当作千兆IDS,其正确名称是“可以接入到千兆环境下的IDS”。
千兆IDS的几大谎言
1、 千兆检测特征达到1800种
不知道从什么时候开始,入侵检测特征成了一个放卫星式的指标,似乎特征越多其产品能力越强,因此也就出现了如下的现象:对某个号称其特征数为1800种的入侵检测产品,我们惊奇的发现,其自身控制台和引擎之间的控制信息也列入其中,数量有60条之多;还有对某一个后门,其特征被细化了有50条之多。原来,入侵检测特征是这么加到这个数量的。不知道这样的检测特征在千兆环境下有什么用?
2、 多个高速网段的同时监控
目前双网卡探测技术仅仅适用于非常低带宽的网络环境(例如:ISS公司在其Realsecure 的最新版本的系统需求手册中明确指出:支持在一台主机上安装两个其network_sensor,但只允许在带宽非常低的网络;安装三块网卡和三个network_sensor监控三个网络也可以,但我们不支持这种安装和维护服务。)。也就是说在现在通用的硬件架构和操作系统的条件下,当两块网卡同时抓包并进行分析的时候,其消耗的系统资源远远大于用一块网卡来分析两块网卡的合流量。尤其在高速网络(千兆)中应用,其性能影响更为明显。当然,如果基于RISC的结构,并将抓包和协议分析的技术在专用的硬件芯片中实现,应该是有一定程度的提高。遗憾的是目前国际、国内的入侵检测厂商都没有实现,原因是芯片技术有技术壁垒和垄断,单独开发其成本必然很高。
所以可以相信要实现双网卡探测正常流量下工作,这还是有很长的路要走。现在多个高速网段的同时监控,如果不指明其适用环境,不能不说是对用户的欺骗。
3、 监控的最大TCP连接数
TCP最大连接数原本是防火墙的一个指标,现在被某些入侵检测厂商引入做为一个入侵检测的指标,并通过其大小来比拼产品优势。最新的一个数据是,某入侵检测产品在千兆的白皮书中声称的最大TCP连接数是50万。
支持的TCP连接数的多少主要不在于程序的实现上的差别,可以简单修改配置。影响其数量主要在于系统内存的大小。计算方法是:
最大连接数 × 每连接使用的缓冲区大小 = 内存占用
比如:如果我们每一个连接使用4k的缓冲区进行处理,那么维持10000个的tcp连接数意味着最大连接情况下的内存占用是4k*10000=40M
如何提高连接数的方法有两种:提高内存容量是一种很容易理解的方法。假如说内存占用数不变的情况下,我们可以通过减少每连接使用的缓冲区的大小,来提高最大连接数。(如果是600M内存空间,我们将缓冲区大小减少为0.5k,那么最大连接数可以到1200k)。但是如果每连接使用的缓冲区太小,会影响检测的准确程度,导致漏报,所以一般2k、4k是相对合理的大小。
用TCP最大连接数多少来比较两个ids系统的能力,也是一种谎言吧!
4、 检测规则升级
现在防病毒产品的升级周期基本上是每周一次,而有些入侵检测厂商也基本和防病毒升级保持了同步。在细看看其检测规则,原来是使用snort的规则。大家都知道snort规则是免费发布的,只要有时间从网上去下载就可以了,根本不需要投入专门的人力去分析研究。由此,数量是有保证的,升级也是有保证的。但是snort本身只是一个轻量级的入侵检测系统,又如何指望能够在高速网上使用呢?
5、 网络内容实时回放
有一部分入侵检测厂商主要功能是把HTTP、FTP以及邮件信息全部给抓下来,管理员可以随时看别人网上信息的内容。这一项功能对某些用户是十分有诱惑力的。但是,入侵检测本身是对网络信息进行检测,发现其中包含的入侵行为和违规行为上报。而对于上网、邮件发送通常是正常行为,把这些信息完整回放出来未免是有侵犯隐私权和泄密的可能。同时,由于网上信息也大部分是这种正常行为,记录这些信息会消耗大量资源,降低性能,在高速IDS上如果也采用这种回放无疑是灾难性的。
因此,在涉密网中,这种网络内容实时回放是不收欢迎的。
6、 事件追踪分析和处理
看了某个国内厂商在其产品资料中宣称的可以对入侵事件进行追踪分析和处理,顿生敬佩之意。要知道,网络IDS 的一大难点就是对入侵事件进行主动的追踪分析以及校验。看完了其产品的实际功能才知道,所谓“追踪分析和处理”就是把一些小工具集成到产品中,可以对源地址进行ping、telnet以及tracert等操作,仅此而已。
7、 千兆IDS产品的资质
通过国家的权威测试和认证是有个过程的。不少入侵检测厂商一推出千兆的入侵检测系统后,就声称拥有国家的权威资质。事实上,一些厂商是用百兆产品的资质去模糊千兆产品。在这个时候,这些厂商就把千兆IDS看作是可以安装于在千兆环境下的IDS了,不去强调其中的技术和性能上的区别了。
用户的网络环境向高速化方向发展是一个必然的趋势,如千兆网络交换设备、千兆级网络防火墙等等,传统的百兆网络入侵检测产品无法适应现有的网络结构;因此,人们迫切需要速度更快、功能更好、性能更强的入侵检测系统,来适应在高速环境下的提高网络安全防护水平。同时,在高速的流量环境下,用户对网络入侵识别的确定性提出了更高的要求,既不能漏过重要的攻击事件,也不能出现大量纷繁复杂的报警而使管理员要花费大量时间来从中寻找与重点防护资产有关的问题。因此对高速入侵检测系统的信息分析能力和策略控制能力又是一个重要的挑战。
目前,国内已有数家网络安全厂商推出或私下表示具备了千兆的入侵检测系统,也许有些产品还需要不断改进,也许有些产品在功能和性能上和用户需求还是存在一定的差异,也许甚至只是技术上接近而没有最终形成产品,这都不是最重要的,只要是踏踏实实的进行长期的研究探索,进行持续的技术创新和功能改进,用经过实际检验的数字说话,也必将为推动我国的具有民族自主知识产权的高性能网络安全产品的发展起到良好的作用。
但是,我们不希望某些入侵检测厂商在为了宣传而在其中夹杂太多的谎言,企图利用用户对入侵检测技术内幕的不了解来推销其产品或是利用玩价格游戏来搞不良竞争,无论是对入侵检测的用户还是对入侵检测的整个产业都是致命的。
“路漫漫其修远兮,吾将上下而求索”,屈原的这个千古名句无疑是给入侵检测厂商的最好的诤言。