【正文】 擊特征可以檢測并防止黑客通過命令嘗試來探測或挖掘已知系統(tǒng)和應(yīng)用的漏洞。? 被動網(wǎng)絡(luò)監(jiān)測：NetProwler 可以把在本系統(tǒng)中安裝的網(wǎng)卡置于混雜模式(Promiscuous)實時檢測各種攻擊。? 加固防火墻的安全性：將入侵檢測產(chǎn)品和其他網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、網(wǎng)絡(luò)防病毒產(chǎn)品等）配合使用，能夠使網(wǎng)絡(luò)更加堅固、安全，使各種安全產(chǎn)品充分發(fā)揮自身的特7 / 25性。很多企業(yè)為了便于管理，均使用一個網(wǎng)管軟件對網(wǎng)絡(luò)中的所有設(shè)備和應(yīng)用系統(tǒng)進(jìn)行管理，例如 TIVOLI、HPOPENVIEW 等等。? 自動報告丟包情況：當(dāng)網(wǎng)絡(luò)流量非常繁重致使一個 NetProwler Agent 不能處理時，Agent 可以詳細(xì)的記錄下相關(guān)信息，并生成報表。生成的報表存儲在 NetProwler 管理器中，可以從控制臺系統(tǒng)的瀏覽器中觀看生成的報表。這項功能是一般的網(wǎng)絡(luò)入侵檢測系統(tǒng)不具備的。黑客的做法是截獲一個已經(jīng)獲得信任的連接，盜用合法 IP，同通信另一方取得聯(lián)系。? 采用了黑客反跟蹤技術(shù)，可以對 TCP/IP 欺騙信號進(jìn)行核查。當(dāng) NetProwler 發(fā)現(xiàn)攻擊時，可采取的響應(yīng)措施包括：把事件記入日志、中斷連接、加強(qiáng)防火墻、創(chuàng)建一個報告、通過文件或 EMAIL 通知系統(tǒng)管理員、啟動另一個程序、記錄連接、將事件通知主機(jī)入侵檢測管理器和控制臺。Console 負(fù)責(zé)從代理處收集信息，顯示所受攻擊信息，使你能夠配置和管理隸屬于某6 / 25個管理器的代理。安裝時應(yīng)與企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和安全策略相結(jié)合。Agent 負(fù)責(zé)監(jiān)視所在網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包。在 NetProwler 進(jìn)行網(wǎng)絡(luò)掃描、提交報告后，系統(tǒng)管理員對每個系統(tǒng)的配置進(jìn)行修改，對攻擊進(jìn)行響應(yīng)。每一個被監(jiān)測的網(wǎng)絡(luò)服務(wù)器都有一個小的相關(guān)攻擊特征集，這些攻擊特征集都是基于服務(wù)器的操作和服務(wù)器所支持的應(yīng)用而建立的。NetProwler 采用具有專利技術(shù)的 SDSI（Stateful Dynamic Signature Inspection 狀態(tài)化的動態(tài)特征檢測）入侵檢測技術(shù),而不是將信號同數(shù)據(jù)庫中預(yù)定義的攻擊信號進(jìn)行簡單的比較。它能夠?qū)⒃S多嚴(yán)重的攻擊在危及網(wǎng)絡(luò)安全之前檢查出來，對內(nèi)部破壞者和外部黑客非法訪問計算機(jī)系統(tǒng)能夠立即做出響應(yīng)，記錄日志和終止非法訪問。公司代理了 Symantec 的所有安全產(chǎn)品，防火墻、入侵檢測、漏洞掃描、防病毒等。成功實現(xiàn)的強(qiáng)強(qiáng)聯(lián)手旨在共同提高中國網(wǎng)絡(luò)安全技術(shù)水平、豐富國內(nèi)的安全手段和產(chǎn)品，以便為用戶提供更為全面的網(wǎng)絡(luò)及信息安全解決方案。公司的目標(biāo)是為用戶提供端到端的互聯(lián)網(wǎng)安全整體解決方案、快捷靈活的超值授權(quán)方案，使用戶以最小的投入而獲得最大利益。賽門鐵克公司為個人和企業(yè)用戶提供了一系列網(wǎng)絡(luò)安全解決方案。公司 2022 財政年度防病毒與工具類軟件銷售額銷售額 億美元，凈利潤 億美元。于 1989 年在美國上市，全球用戶超過六千萬，包括3 / 25Fortune Top50 家企業(yè)的 45 家。目前，賽門鐵克 (Symantec) 公司是全球第一位的互聯(lián)網(wǎng)絡(luò)安全解決方案供應(yīng)商，也是唯一能夠提供最全面的互聯(lián)網(wǎng)絡(luò)安全解決方案供應(yīng)商。公司作為一家專業(yè)從事網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用和推廣的高科技實體。公司依托強(qiáng)有力的技術(shù)后盾，在充分發(fā)揮自身技術(shù)優(yōu)勢的基礎(chǔ)上，率先投身網(wǎng)絡(luò)和信息安全領(lǐng)域，在國信辦、國密辦、國家保密局、公安部、總參 58 所、56 所等部門的指導(dǎo)和支持下，承擔(dān)了一系列關(guān)于網(wǎng)絡(luò)信息安全的研究課題和項目，并已開發(fā)一系列網(wǎng)絡(luò)及信息安全產(chǎn)品，形成了產(chǎn)、學(xué)、研一體化的格局。并于 2022 年 7 月 27 日在香港創(chuàng)業(yè)版上市，是境內(nèi)第一家在香港創(chuàng)業(yè)版上市的高科技企業(yè)。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)銀行，網(wǎng)上證券等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。網(wǎng)絡(luò)及信息安全代理產(chǎn)品技術(shù)白皮書 北京北大青鳥環(huán)宇科技股份有限公司2 / 25一、引言隨著計算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是 Inter 的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。北大青鳥環(huán)宇科技股份有限公司成立與 2022 年 3 月，由北大青鳥軟件系統(tǒng)有限公司、北大宇環(huán)微電子系統(tǒng)工程公司、北大青鳥天橋有限公司等 9 家企業(yè)和投資基金共同發(fā)起設(shè)立的一家高科技公司，注冊資本 9640 萬元。公司作為中國首屈一指的嵌入系統(tǒng)開發(fā)商和供應(yīng)商，依托北京大學(xué)信息安全研究室、北京大學(xué)軟件工程研究所和北京大學(xué)微電子學(xué)研究所的科研、人才優(yōu)勢，以嵌入式系統(tǒng)產(chǎn)品為主要發(fā)展方向，主要從事網(wǎng)絡(luò)安全產(chǎn)品、專用集成電路（ASIC）、IC 卡應(yīng)用系統(tǒng)、GPS 應(yīng)用系統(tǒng)和無線火災(zāi)報警系統(tǒng)等。目前開展的研究涉及網(wǎng)絡(luò)與信息安全方面的理論、技術(shù)、產(chǎn)品研發(fā)各環(huán)節(jié)，尤其在 Intra/Inter、VPN、區(qū)域金融網(wǎng)安全體系、加密及密鑰管理體制、密押及數(shù)字簽名體制、雙向身份認(rèn)證、訪問控制、安全電子傳輸協(xié)議（SET）、信息存儲安全、系統(tǒng)日志、支付密碼器、數(shù)據(jù)加密卡、鏈路加密機(jī)、公用對象代理系統(tǒng)、安全通信平臺等方面取得了很好的研究成果。一直致力于金融、證券、銀行、政府上網(wǎng)工程、公共網(wǎng)/Intra 網(wǎng)絡(luò)信息安全等領(lǐng)域的自主安全產(chǎn)品開發(fā)和以客戶應(yīng)用為核心的系統(tǒng)集成項目的整體方案設(shè)計和工程實施，并成果顯著。成立于 1982 年，現(xiàn)在全球范圍設(shè)立的分支機(jī)構(gòu)已超過 33 個國家。擁有全球雇員及專家 3700 多人。風(fēng)險評估與入侵檢測等安全類軟件銷售額 億美元。包括病毒防護(hù)、風(fēng)險管理、入侵檢測、互聯(lián)網(wǎng)安全、電子郵件過濾和移動代碼偵測等技術(shù)。北大青鳥環(huán)宇公司與賽門鐵克公司結(jié)成戰(zhàn)略合作伙伴關(guān)系, 作為賽門鐵克在中國的全線產(chǎn)品分銷商。二、產(chǎn)品應(yīng)用思路北大青鳥環(huán)宇公司的一體化的網(wǎng)絡(luò)安全解決方案能夠幫助用戶根據(jù)網(wǎng)絡(luò)的實際情況和應(yīng)用需求提出合理可行的安全需求；確定要保護(hù)的對象（網(wǎng)絡(luò)設(shè)備、企業(yè)內(nèi)部服務(wù)器、應(yīng)用系統(tǒng)等要素） 、所采用的安全技術(shù)和產(chǎn)品；進(jìn)而設(shè)計并建立適合自己的安全機(jī)制、安全管理制度，取得安全風(fēng)險、成本、安全性三者之間取得最佳平衡點(diǎn)。內(nèi)容如下：?Enterprise Security Manager（基于主機(jī)的漏洞檢測）?NetRecon（基于網(wǎng)絡(luò)的漏洞檢測）2. 網(wǎng)絡(luò)防護(hù)?Intruder Alert(基于主機(jī)防黑客入侵偵測)?NetProwler(基于網(wǎng)絡(luò)防黑客入侵偵測)?Raptor Firewall（防火墻）、加密?Defender 、WebDefender?VPN Solutions(RaptorMobile 、PowerVPN )4 / 25?PassGoInSvnc、PassGo SSO? Enterprise Resource Manager? Resource Manager for UNIX? Privilege Manager for UNIX? IGear（網(wǎng)站和網(wǎng)頁內(nèi)容過濾）? MailGear（郵件內(nèi)容過濾、防郵件泄密）? 網(wǎng)絡(luò)防病毒解決方案（NAVES）（Desktop Firewall ）? Desktop Firewall （eSupport） ? Symantec Ghost ? pcANYWHERE 安全產(chǎn)品實現(xiàn)的主要功能和應(yīng)用層次如下：防病防病毒毒自身安全授權(quán)安全管理安全管理 (ERM, PassGo Insync, PassGo SSO)增強(qiáng)的用戶認(rèn)證增強(qiáng)的用戶認(rèn)證 (Defender, Web Defender)入侵檢測入侵檢測 (Intruder Alert, Net Prowler)評估評估 (ESM , NetRecon)安安全全管管理理 (UPM , ERM)加密加密 (Power VPN)訪問控制訪問控制 (Desktop Firewall, Security Briefcase)安安全全顧顧問問防火墻防火墻 (Raptor Firewall)內(nèi)容過濾（內(nèi)容過濾（ IGear, MailGear,NAVES））5 / 25三、NetProwler NetProwler 產(chǎn)品概述NetProwler 是基于網(wǎng)絡(luò)的入侵檢測工具，通過監(jiān)視服務(wù)器、工作站和其他網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)通訊，能夠檢測出類似 IP Spoofs 和 SYN Floods 這樣的網(wǎng)絡(luò)攻擊。NetProwler 在專門的 NT 工作站上部署一個數(shù)據(jù)包監(jiān)視方案來檢查網(wǎng)絡(luò)攻擊，NT 工作站的網(wǎng)卡接口模式設(shè)置為混雜模式，NetProwler 檢查所有經(jīng)過網(wǎng)卡端口的數(shù)據(jù)包，對檢測出的安全攻擊進(jìn)行響應(yīng)。每個攻擊特征都是一組指令集，這些指令是由 SDSI 虛處理器通過使用一個高速緩存入口來描述目前用戶狀態(tài)和當(dāng)前從網(wǎng)絡(luò)上收到數(shù)據(jù)包的辦法執(zhí)行。一旦 NetProwler 被安裝，它將掃描所在網(wǎng)段，進(jìn)而發(fā)現(xiàn)危及主機(jī)和應(yīng)用系統(tǒng)安全的攻擊。 NetProwler 的體系結(jié)構(gòu)NetProwler 具有多層體系結(jié)構(gòu)，由 Agent、Console 和 Manager 三部分組成。將檢測到的攻擊及其所有相關(guān)數(shù)據(jù)發(fā)送給管理器。NetProwler 需要在每個網(wǎng)段中部署一個或一個以上 Agent，根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)，Agent 有多種不同的連接形式。Manager 對配置和攻擊警告信息響應(yīng)，執(zhí)行控制臺發(fā)布的命令，將代理發(fā)出的攻擊警告?zhèn)鬟f給控制臺。 NetProwler 產(chǎn)品特點(diǎn)? 運(yùn)用了 SDSI 技術(shù)，能夠動態(tài)裝載新的更新，同時賽門鐵克的信息安全小組SWAT 隨時研究新的入侵技術(shù)和安全威脅，并且在實驗室中對它們進(jìn)行測試，以便用戶能夠以最快的速度實施新的入侵檢測方案。通常狀態(tài)下，攻擊者使用假 IP 地址有可能會被注意到，因為在建立連接時往往要檢驗 IP 地址以判斷通訊雙方是否有信任關(guān)系。NetProwler 不是進(jìn)行簡單的域名檢查，而是將攻擊信號同保留的 IP 和MAC 地址對進(jìn)行比較，并且可以對攻擊者在進(jìn)行序列號猜測過程中發(fā)生的極其微小的錯誤也能檢測到。? NetProwler 具有優(yōu)秀的報表輸出功能，有三種不同的輸出方式：快速報表、自定義格式報表和使用 Crystal 報表設(shè)計工具生成報表。? NetProwler 允許將攻擊特征作為一組指令集來實現(xiàn)，所以還為用戶提供過濾器編程語言，使入侵檢測系統(tǒng)在必要的時候可以編譯過濾器。? 遵循 OPSEC 協(xié)議，具有良好的互操作性。NetProwler 在產(chǎn)品整合過程中，對外提供標(biāo)準(zhǔn)插件，使網(wǎng)管軟件對其實施管理。NetProwler 在響應(yīng)攻擊事件時，可以修改 Raptor Firewall、 Checkpoint Firewall 等的安全策略和訪問控制規(guī)則。由于它采用數(shù)據(jù)緩沖技術(shù)而不是采用存儲/轉(zhuǎn)發(fā)技術(shù)，因此不會影響網(wǎng)絡(luò)或應(yīng)用的性能。同時管理員可以根據(jù)企業(yè)的資源和應(yīng)用情況制定相應(yīng)的攻擊特征。? 動態(tài)裝載新的攻擊特征：IDS 系統(tǒng)只有能夠及時更新攻擊特征庫才能夠