入侵检测系统技术培训.ppt

联想网御IDS技术和功能介绍 研发四处2007年4月 IDS产品背景IDS是什么IDS的分类NIDS在网络中如何部署联想网御IDS产品简介联想网御IDS的产品优势 目录 IDS产品背景 复杂度 时间 传统的安全防御技术 防火墙 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙的局限性 关于防火墙防火墙不能安全过滤应用层的非法攻击 如unicode攻击防火墙对不通过它的连接无能为力 如内网攻击等防火墙采用静态安全策略技术 因此自身无法动态防御新的非法攻击 IDS是什么 IntrusionDetection 通过从计算机网络或系统中的若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术 IntrusionDetectionSystem 作为防火墙的合理补充 入侵检测技术能够帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 攻击识别和响应 提高了信息安全基础结构的完整性 IDS和防火墙的形象说明 IDS的分类 根据数据来源分类主机入侵检测系统 HIDS 网络入侵检测系统 NIDS 根据分析方法分类异常检测模型 AnomalyDetectionModel 误用检测模型 MisuseDetectionModel 根据时效性分类离线入侵检测系统 off lineIDS 在线入侵检测系统 On lineIDS 根据分布性分类集中式分布式 HIDS和NIDS的比较 安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源 安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负担 入侵检测系统 网络型入侵检测系统 主机型入侵检测系统 HIDS和NIDS的比较 误用检测和异常检测的对比 入侵检测模型 异常检测 AnomalyDetection 指根据使用者的行为或资源使用状况来判断是否入侵 而不依赖于具体行为是否出现来检测 误用检测 MisuseDetection 指运用已知攻击方法 根据已定义好的入侵模式 通过判断这些入侵模式是否出现来检测 模式匹配为误用检测的典型应用 异常检测模型 误用检测模型 误用检测和异常检测的对比 NIDS在网络的位置 探测引擎 交换机 数据镜像 控制台 Internet 路由器 内部局域网 IDS 防火墙 NIDS部署环境1 共享环境 HUB IDSSensor MonitoredServers Console NIDS部署环境2 交换环境 Switch IDSSensor MonitoredServers Console 通过端口镜像实现 SPAN PortMonitor NIDS部署环境3 分流环境 Switch IDSSensor MonitoredServers Console TAP NIDS部署环境4 隐蔽模式 Switch IDSSensor MonitoredServers 不设IP 联想网御IDS 产品线 产品性能 N5200产品说明 N3200产品说明 N820产品说明 N120产品说明 联想网御IDS产品结构 探测引擎 会话状态分析 应用协议分析 误用检测 异常检测 DoS DDoS检测 入侵响应 切断会话 防火墙联动 入侵日志 邮件 短信报警 SNMPTrap 升级 控制 虚拟引擎 并行数据采集 端口镜像 分流 多路数据组合 联想网御IDS引擎结构 联想网御IDS的产品优势 高效精准的入侵检测并行数据采集的虚拟引擎技术硬件级的替换存储零拷贝技术并行多协议融合分析技术细粒度的深度内容匹配算法方便灵活的智能管理网络流量精准检测异常问题快速定位关键服务重点监控实时安全的联动响应实时的主动阻断多样的联动响应 入侵检测性能高效 USE引擎 四级提速 四项技术 并行数据采集的虚拟引擎技术 硬件级替换存储技术 网御IDS替换存储技术 标准TCP IP协议栈处理机制 多协议融合分析技术 细粒度分析算法 基于应用协议完全解析ADI匹配算法CDI匹配算法多线程并行处理技术3000多条细粒度检测规则 传统模式匹配与基于协议分析的模式匹配的对比 Ethernet IP TCP 模式匹配 Ethernet IP TCP 智能协议分析 HTTP Unicode XML 传统模式匹配与基于协议分析的模式匹配的对比 Client Server 无意义数据包 10K syn syn ack ack 真实攻击 基于会话的NIDS 检测到1次攻击 基于数据包的NIDS 检测到20K 1次攻击 无意义数据包 10K 传统模式匹配与基于协议分析的性能对比 线性匹配 树型匹配 O N O logN N是规则数 规则数 时间 随着规则数的增大 树型匹配的消耗时间的增长速度远远低于线性匹配 方便灵活的智能管理 网络流量精准检测 实时记录并图形化显示当前正常和异常的网络流量和会话数 真实反映当前探测器处理能力 客观显示丢包数量 为设备科学合理部署提供依据 异常问题快速定位 主机异常流量快速定位 IP MAC地址捆绑和事件关联分析等功能 辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题 关键服务重点监控 针对关键服务器可自定义事件特征 修改已有规则阈值 制定针对性的个性化检测策略 并实时监控服务运行状态 对针对性的攻击实现报警响应和阻断 统计报表灵活多样 提供50多种基本的日志与审计报告样式 并支持用户灵活定制报告样式 支持将报告转换为MS Word MS Excel Crystal XML RTF和HTML格式 网络流量检测精准 实时安全的联动响应 优势总结 3000多条入侵检测规则900多条蠕虫病毒检测规则支持SSL加密数据检测探测引擎安全性更高多种多样的单独监控窗口支持更多的防火墙联动协议并支持与路由器联动支持向安全管理平台无需安装的简单报警器