矿业研究与开发.pdfVIP

经典文档，值得下载收藏！ 报告编号 合同编号：20101019027 科 技 查 新 报 告 项目名称： 蓝盾入侵检测系统 委 托 人： 蓝盾信息安全技术股份有限公司 委托日期： 2010 年 10 月 19 日 查新机构（盖章）：广东省科学技术情报研究所 查新完成日期：2010 年 10 月 21 日 中华人民共和国科学技术部 二ООО年制 经典文档，值得下载收藏！ 中文： 蓝盾入侵检测系统 查新项目名称 英文（国内外）： 机构名称 广东省科学技术情报研究所 查 通信地址 广州市连新路 171 号科学馆大院内科技信息大楼九楼查新检索中心 新 邮政编码 510033 电子邮箱 cbaixing@126.com 机 负 责 人 罗秀豪 电 话 020 传 真 020 构 联 系 人 陈柏兴 电 话 1 020815 电 话2 020815 一、查新目的 其他查新 二、查新项目的科学技术要点 1.主要内容 HT-900 黑客追踪系统通过建立各种危害行为的特征知识库和正常系统知识库，对各种途径获 取的现场主机、傀儡主机和网络设备的日志、进程、网络通信、文件系统、配置等信息进行关联分 析，从中找出有侦查价值的入侵痕迹信息和线索信息，并对其进行定位、溯源和追踪。当发现攻击 行为的存留信息时通过远程追踪探测模块或其他途径获取攻击源主机的各种运行存留信息，并由数 据分析模块对其进行分析，找出控制攻击源主机（傀儡机）的控制主机地址，如此一直追踪到危害 行为发起者的真实地址。 2.主要功能 本项目实现了现场自动侦查分析、实时监控报警、远程侦查追踪、网络陷阱等功能，下面分别 加以说明。 （一）自动侦查分析功能：通过对被攻击主机的日志、进程、注册表、邮件、账号、共享、连 接、cookies 及现场网络通讯等自动分析，确定攻击来源 IP 地源和采用的攻击手法。 1)主机基本入 侵痕迹分析：提取分析被入侵主机的系统日志、注册表、进程、网络连接、访问记录、用户账号、 共享资源等数据中黑客入侵留下的痕迹。 2)应用服务日志分析：分析 WWW 、FTP 、SMTP、POP3 、 NNTP 、PROXY 等网络服务的日志信息，提取攻击痕迹和入侵痕迹数据。 3)进程深层分析：为防 止黑客用同名、进程注入等方式进行隐藏、欺骗，本系统对进程相关联的信息进行深层分析，包括 进程占用的内存、CPU 资源、端口、调用的动态链接库和其它模块文件等。 4) 电子邮件分析：分 析电子邮件的邮件头、内容、附件，特别是 eml 格式的邮件，找出该邮件是否有大量转发、欺骗来 源、植入木马或攻击等入侵行为。 5)通信实时监控：实时分析网络通迅数据，从中发现异常的请 求和内容。 （二）实时监控报警功能：对现场进行守候式监控，当黑客再次来访或攻击时，即时报警，并 记下其攻击者的 IP 和攻击方式。 （三）远程追踪功能：通过植入远程追踪探头分析攻击发起计算机的类型（肉机/控制机），逐 级跟踪直到找到发起攻击的入侵者的真实 IP 地址，并尽可能地获取入侵者的计算机中的信息。 1) 获取目标主机静态信息：可远程获取目标主机的静态信息包括文件系统、注册表、磁盘系统、MAC 地址、用户帐号、访问历史记录等。 2)获取目标主机动态信息：可远程获取目标主机的动态信息 包括进程、网络连接、用户操作等。 3)监听目标主机网络通信：远程监听目标主机的指定协议和 指定端口的网络通信数据包，并对其进行包重组和协议还原。 4)主机类型分析：通过分析捕获的 １ 目标主机信息，获取目标主机的类型（肉机/控制机）。 5)入侵痕迹提取、分析：在捕获的目标主机 信息中寻找入侵行为留下的痕迹并对其进行分析，从而获取入侵者的