入侵检测系统技术培训.ppt

联想网御IDS技术和功能介绍,研发四处 2007年4月,IDS产品背景 IDS是什么 IDS的分类 NIDS在网络中如何部署 联想网御IDS产品简介 联想网御IDS的产品优势,目 录,IDS产品背景,复杂度,时间,传统的安全防御技术防火墙,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则 决定进出网络的行为,防火墙的局限性,关于防火墙 防火墙不能安全过滤应用层的非法攻击，如unicode攻击 防火墙对不通过它的连接无能为力，如内网攻击等 防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击,IDS是什么,Intrusion Detection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术； Intrusion Detection System：作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。,IDS和防火墙的形象说明,IDS的分类,根据数据来源分类 主机入侵检测系统（HIDS） 网络入侵检测系统（NIDS） 根据分析方法分类 异常检测模型（Anomaly Detection Model） 误用检测模型（Misuse Detection Model） 根据时效性分类 离线入侵检测系统（off-line IDS） 在线入侵检测系统（On-line IDS） 根据分布性分类 集中式 分布式,HIDS和NIDS的比较,安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源,安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负担,入侵检测系统,网络型入侵检测系统,主机型入侵检测系统,HIDS和NIDS的比较,误用检测和异常检测的对比,入侵检测模型,异常检测(Anomaly Detection）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。,误用检测（ Misuse Detection ）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。 模式匹配为误用检测的典型应用,异常检测模型,误用检测模型,误用检测和异常检测的对比,NIDS在网络的位置,探测引擎,交换机,数据镜像,控制台,Internet,路由器,内部局域网,IDS,防火墙,NIDS部署环境1共享环境,HUB,IDS Sensor,Monitored Servers,Console,NIDS部署环境2交换环境,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现 （SPAN / Port Monitor）,NIDS部署环境3分流环境,Switch,IDS Sensor,Monitored Servers,Console,TAP,NIDS部署环境4隐蔽模式,Switch,IDS Sensor,Monitored Servers,不设IP,联想网御IDS,产品线,产 品 性 能,N5200产品说明,N3200产品说明,N820产品说明,N120产品说明,联想网御IDS产品结构,探测引擎,会话状态分析 / 应用协议分析,误用检测,异常检测,DoS/DDoS 检测,入侵响应,切断会话,防火墙联动,入侵日志,邮件、短信报警,SNMP Trap,升级,控制,虚拟引擎,并行数据采集,端口镜像,分流,多路数据组合,联想网御IDS引擎结构,联想网御IDS的产品优势,高效精准的入侵检测 并行数据采集的虚拟引擎技术 硬件级的替换存储零拷贝技术 并行多协议融合分析技术 细粒度的深度内容匹配算法 方便灵活的智能管理 网络流量精准检测 异常问题快速定位 关键服务重点监控 实时安全的联动响应 实时的主动阻断 多样的联动响应,入侵检测性能高效,USE 引擎,四 级 提 速,四 项 技 术,并行数据采集的虚拟引擎技术,硬件级替换存储技术,网御IDS替换存储技术,标准TCP/IP协议栈处理机制,多协议融合分析技术,细粒度分析算法,基于应用协议完全解析 ADI匹配算法 CDI匹配算法 多线程并行处理技术 3000多条细粒度检测规则,传统模式匹配与基于协议分析的模式匹配的对比,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,智能协议分析,HTTP,Unicode,XML,传统模式匹配与基于协议分析的模式匹配的对比,Client,Server,无意义数据包- 10K,syn,syn, ack,ack,真实攻击,基于会话的 NIDS 检测到1次攻击,基于数据包的 NIDS 检测到 20K+1次 攻击,无意义数据包- 10K,传统模式匹配与基于协议分析的性能对比,线性匹配,树型匹配,O ( N ) O ( logN ) N是规则数,规则数,时间,随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配,方便灵活的智能管理,网络流量精准检测：实时记录并图形化显示当前正常和异常的网络流量和会话数；真实反映当前探测器处理能力，客观显示丢包数量，为设备科学合理部署提供依据。 异常问题快速定位：主机异常流量快速定位、IP/MAC地址捆绑和事件关联分析等功能，辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题。 关键服务重点监控：针对关键服务器可自定义事件特征、修改已有规则阈值，制定针对性的个性化检测策略，并实时监控服务运行状态，对针对性的攻击实现报警响应和阻断。 统计报表灵活多样：提供50多种基本的日志与审计报告样式，并支持用户灵活定制报告样式，支持将报告转换为MS-Word、MS-Excel、Crystal、XML、RTF和HT