10联想网御入侵检测产品培训

1、联想网御入侵检测系统培训目录入侵检测的作用联想网御入侵检测的产品功能联想网御入侵检测的产品特点入侵检测的形态入侵检测系统一般是软件形式或是软硬件结合的形式.我们的产品是软硬件结合的方式（硬件探测器与控制台光盘）：入侵手段的特点 现代入侵攻击技术 入侵所需知识 入侵检测系统与防火墙下图表现了防火墙与入侵检测系统之间的协作关系，共同运作，达到提升网络安全等级的目的。发现（detect）审计（audit）保护（Protect）FWIDS网御入侵检测产品介绍NIDS分类：基于所分析的数据对象基于数据包分析的 NIDS这种NIDS 是建立在组成会话的每个数据包的基础上几乎所有商用 NIDS 都是这种类型

2、，还包括 Snort等软件优势 简单的规则匹配，易于实现缺点 在检测实时攻击时性能不高，误报率高基于会话分析的 NIDS这种NIDS 按照server-client间的通信内容，把数据包重组为 连续的会话流。优势 检测实时攻击时性能优良，低误报率缺点 在会话没建立的情况下，检测能力差网御入侵检测产品介绍为什么基于会话的 NIDS 比基于数据包的更优秀？ClientServerGET /cgi-bin/phf?synsyn, ack ack基于数据包的NIDS通过简单的 get /cgi-bin/phf特征码匹配就判断为攻击网御入侵检测产品介绍为什么基于会话的 NIDS 比基于数据包的更优秀？C

3、lientServer无意义数据包- 10Ksynsyn, ackack真实攻击基于会话的 NIDS 检测到1次攻击基于数据包的 NIDS 检测到 21K 攻击无意义数据包- 10K由于基于会话的NIDS对于整个会话流进行分析,因此可有效地过滤虚假攻击。因此防止事件风暴产生的同时,还提高了检测准确度网御IDS的功能介绍检测与分析功能 告警与响应功能报表与审计功能自身安全性功能管理与配置功能规则升级与技术支持网御入侵检测产品介绍检测与分析功能采用基于AMPFAT技术的LEADER引擎，支持事件统计 分析，协议异常检测，可有效防止各种攻击欺骗；在MAC Layer中检测及响应，提高系统效率；会话级

4、碎片重组，对付数据包分割攻击告警与响应功能在发现入侵或者异常行为之后，可以根据安全规则提供 电子邮件，声讯警示，消息警示窗，TCP阻断等多种响 应方式；并且可以与联想网御2000防火墙联动，及时切断入侵通 道，达到主动式防御目的；网御入侵检测产品介绍报表与审计功能提供20多种基本的日志与审计报告样式，并支持用户灵 活定制报告样式，支持将报告转换为MS-Office 或 HTML 格式；可实时以图表的形成显示各个探测器(Sensor)所监视的 网络情况，包括PPS(packet/sec)，BPS(bit/sec) Seesion个数等；能够生成多个探测器的综合分析报告；网御入侵检测产品介绍管理与

5、配置功能支持探测器(Sensor)和管理控制台(Manager)之间多 对多的分布式管理；可远程设置探测器（Sensor）的环境，入侵检测规则 及响应方法；可配置在线升级和备份、完整性(Integrity)检查等计 划任务，按用户希望的时间周期自动执行；用户可定制管理员视图； 网御IDS的产品特点介绍自身安全性高碎片重组与其他安全产品协同灵活的管理控制方式庞大的入侵检测规则库内容丰富的报表系统实时监控网络流量完善的日志库管理多种多样的响应方式产品特点自身安全性高联想网御入侵检测系统隐藏了自身探测IP从而避开黑客对入侵检测系统的直接攻击联想网御入侵检测系统的探测器和管理控制台之间采用基于公用密钥

6、的认证及SSL加密通讯，确保了认证及事件传输的安全系统在启动时自动执行完整性检查，使得系统安全得到了进一步的增强产品特点碎片重组功能有一些攻击行为会以IP碎片的方式进行。如果不能对以碎片的形式传播的数据进行很好的重组，就不可能对整个网络中的行为进行完整的监测。另外，还有基于IP碎片的欺骗攻击。攻击者发送大量IP碎片包来达到阻塞IDS的目的，网御IDS可以分辨出这种异常的分片。碎片攻击过程Internet110010101100010101000010101(attack)分片、乱序(tatkca)0000101011000101011100101011100101011000101010000

7、10101重组接收数据(attack)被攻击攻击攻击特征报警产品特点与其他安全产品的协同工作可以很好的与联想网御2000防火墙进行联动向SNMP系统传递IDS报警日志linda mark bob charles 受保护网络Internet发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等攻击网御发送消息给SNMP系统灵活的管理控制方式管理控制台与探测器的连接方式可以灵活设置： 注：虚线表示可以有也可以没有 产品特点主控制台副控制台产品特点庞大的入侵检测规则库联想网御入侵检测系统的检测规则库由国家反计算机入侵和防病毒研究中心与联想公司合作建设。依托联想公司和国家反

8、计算机入侵和防病毒研究中心强大的资源投入，保证了检测规则库的权威性和时效性联想网御入侵检测系统目前拥有1,600多种入侵探测攻击特征（Signature），可以探测所有已知的入侵，并做出响应；此外，用户还可自定义新的攻击特征（Signature），并对此进行探测及设置响应策略可供选择的在线/离线两种类型的升级方式，还可以定制进行自动升级 产品特点内容丰富的报表系统网御IDS对所记录的日志进行综合分析，为用户提供审计分析报告，报告的内容包括以下几方面：入侵检测日志报告系统审计日志报告统计报告（表格/图形）系统设置信息报告 产品特点实时监控网络流量能以数据包/字节为基准的方式对网络层/IP服务的流

9、量进行实时 的监测。还能对数据包大小进行统计。除了对流量的监测外，还提供了对这些数据的均值计算，能够得出到当前为止的平均数据包大小和平均数据处理量。产品特点完善的日志库管理网御IDS的日志分为入侵检测日志和系统审计日志。入侵检测日志记录的是探测器发现的网络行为，系统审计日志记录的是系统本身的操作行为。除了在界面上可以实时看到日志外，系统还提供了日志检索工具，可以根据用户的需要，按照特定的条件对日志进行快速的检索，而不需要在报表系统中查询。产品特点多种多样的响应方式网御IDS提供的响应方式分为两种： 被动响应： 报警（报警信息、声音报警、弹出窗口） 记录日志 E-MAIL 与SNMP系统联动 主

10、动响应： 重置连接 执行自定义程序 与防火墙联动入侵检测系统的评判标准漏报率 抓包性能（是否能抓全数据包）、分析方法（是否能对抓取的数据进行完整的分析）、规则库（是否有对该事件的描述）、响应（是否能对分析完的数据进行及时的响应）误报率 分析方法（在分析数据的时候，程序是否能正常运作）、规则库（对事件特征库的描述是否准备）、响应（对事件的响应方式是否准确）检测技术模式匹配：与传统的防病毒系统类似，机械匹配事件规则协议分析：利用协议高度有序性，进行快速检索异常检测：构造异常模型，以之为检测模版会话检测：将采集的数据加以会话重组后再分析Thank You!Any question? 选择联想网御入侵

11、检测系统的理由之一高效的数据采集技术减少TCP/IP堆栈的处理，网卡捕获的报文直接放到用户进程可以访问的空间，减少由数据拷贝和系统调用的上下文切换而带来的开销。选择联想网御入侵检测系统的理由之二安全策略预检分流数据收集及缩略告警及报告误用分析异常行为检测主动响应事件缩略再分析 数据收集及缩略告警及报告被动响应误用分析异常行为检测普通引擎LEADER 引擎事件分析过程数据采集单元策略预检协议流管理器事件合并处理响应单元telnethttpsmtphttpftpnetbiostftptelnethttppop3选择联想网御入侵检测系统的理由之三权威的攻击特征库与国家反计算机入侵及病毒防范中心合作，共建、共享攻击特征事件库，保证用户在第一时间获得更新超过1600余种攻击检测特征用户可以自行定义事件库符合CVE以及arachNIDS 标准选择联想网御入侵检测系统的理由之四强大的管理功能界面可自定义，操作简单，方便管理支持主动/被动的接入方式提供