入侵检测系统技术培训课件

1、 2007 联想网御联想网御IDS技术和功能介绍研发四处研发四处20072007年年4 4月月 IDSIDS产品背景产品背景 IDSIDS是什么是什么 IDSIDS的分类的分类 NIDSNIDS在网络中如何部署在网络中如何部署 联想网御联想网御IDSIDS产品简介产品简介 联想网御联想网御IDSIDS的产品优势的产品优势目目 录录IDSIDS产品背景产品背景复杂度时间两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为安全域2Host C Ho

2、st D 安全域1Host A Host B 防火墙的局限性防火墙的局限性关于防火墙 防火墙不能安全过滤应用层的非法攻击，如unicode攻击 防火墙对不通过它的连接无能为力，如内网攻击等 防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击IDSIDS是什么是什么 Intrusion Detection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术； Intrusion Detection System：作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（

3、包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 IDSIDS和防火墙的形象说明和防火墙的形象说明IDSIDS的分类的分类根据数据来源分类主机入侵检测系统（HIDS）网络入侵检测系统（NIDS）根据分析方法分类异常检测模型（Anomaly Detection Model）误用检测模型（Misuse Detection Model）根据时效性分类离线入侵检测系统（off-line IDS）在线入侵检测系统（On-line IDS）根据分布性分类集中式分布式HIDSHIDS和和NIDSNIDS的比较的比较安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占

4、用一定的系统资源安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负担入侵检测系统入侵检测系统网络型入侵检测系统网络型入侵检测系统主机型入侵检测系统主机型入侵检测系统HIDSHIDS和和NIDSNIDS的比较的比较对比项HIDSNIDS部署成本与部署风险高低自身安全性弱强实时性强强主机OS依赖性高无是否影响业务系统的性能高无误报率低低监视系统行为强弱监视网络行为无强误用检测和异常检测的对比误用检测和异常检测的对比入侵检测模型入侵检测模型异常检测(Anomaly Detection）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体

5、行为是否出现来检测。 误用检测（ Misuse Detection ）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。模式匹配为误用检测的典型应用异常检测模型异常检测模型误用检测误用检测模型模型误用检测和异常检测的对比误用检测和异常检测的对比对比项误用检测异常检测检测准确性高低误报率低高未知攻击检测能力弱强系统相关性高无新攻击方法检测能力无具有NIDS在网络的位置探测引擎探测引擎交换机交换机数据镜像数据镜像控制台控制台Internet路由器路由器内部局域网内部局域网IDSIDS防火墙防火墙NIDSNIDS部署环境部署环境1 1共享环境共享环境HUBIDS Sen

6、sorMonitored ServersConsoleNIDSNIDS部署环境部署环境2 2交换环境交换环境SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现（SPAN / Port Monitor）NIDSNIDS部署环境部署环境3 3分流环境分流环境SwitchIDS SensorMonitored ServersConsoleTAPNIDSNIDS部署环境部署环境4 4隐蔽模式隐蔽模式SwitchIDS SensorMonitored ServersConsole不设不设IP联想网御IDS产品线产品性能千兆千兆标准型标准型N3

7、200N3200百兆百兆标准型标准型N120N120N820N820百兆百兆增强型增强型千兆千兆增强型增强型N5200N5200N5200N5200产品说明产品说明说明项说明产品描述千兆增强型，2U机箱，热备冗余电源适用于2G负载的千兆网络环境通讯口（管理口）1个10/100M自适应电口监听口2个10/100/1000M自适应电口，2个GBIC插槽（可插千兆GBIC多模光口/单模光口/电口模块)，监听口可扩展为4个。串口1个RS-232口扩展说明如需支持3或4个监听口,可按客户需求选配1或2个相应“GBIC模块”，可随主机同时下单；如已购买主机，则直接下单购买“GBIC模块”升级为3或4个监听

8、口,设备无需返厂。N3200N3200产品说明产品说明说明项说明产品描述千兆标准型，2U机箱，热备冗余电源适用于1G负载的千兆网络环境通讯口（管理口）1个10/100M自适应电口监听口2个10/100/1000M自适应电口，2个GBIC插槽（可插千兆GBIC多模光口/单模光口/电口模块)，监听口可扩展为4个。串口1个RS-232口扩展说明如需支持3个监听口,可按客户需求选配1个相应“GBIC模块”，可随主机同时下单;如已购买主机，则直接下单购买“GBIC模块”升级为3个监听口,设备无需返厂；不建议插2个GBIC模块来支持4个监听口，如需要请购买N5200。N820N820产品说明产品说明说明项

9、说明产品描述百兆增强型，1U机箱，单电源适用于200M负载的百兆网络环境通讯口（管理口）1个10/100M自适应电口监听口1个10/100M自适应电口，2个10/100M自适应扩展口（可设为监听口）。串口1个RS-232口扩展说明如需支持2或3个监听口，按用户手册通过串口对扩展口进行相应配置即可，设备无需返厂。N120N120产品说明产品说明说明项说明产品描述百兆标准型，1U机箱，单电源适用于100M负载的百兆网络环境通讯口（管理口）1个10/100M自适应电口监听口1个10/100M自适应电口，2个10/100M自适应扩展口（可设为监听口）。串口1个RS-232口扩展说明如需支持2个监听口，

10、按用户手册通过串口对扩展口进行相应配置即可，设备无需返厂；不建议支持3个监听口，如需要请购买N820。联想网御联想网御IDSIDS产品结构产品结构探测引擎探测引擎会话状态分析会话状态分析 / 应用协议分析应用协议分析误用检测误用检测异常检测异常检测DoS/DDoS 检测检测入侵响应入侵响应切断会话防火墙联动入侵日志邮件、短信报警SNMP Trap控制台控制台配置配置策略参数环境信息规则库规则库规则报告与取证报告与取证流量统计报警报表响应响应记录日志焦点窗口声音报警升级升级产品规则升级升级控制控制虚拟引擎虚拟引擎并行数据采集并行数据采集端口镜像分流多路数据组合联想网御联想网御IDSIDS引擎结构

11、引擎结构联想网御联想网御IDSIDS的产品优势的产品优势 高效精准的入侵检测高效精准的入侵检测并行数据采集的虚拟引擎技术并行数据采集的虚拟引擎技术硬件级的替换存储零拷贝技术硬件级的替换存储零拷贝技术并行多协议融合分析技术并行多协议融合分析技术细粒度的深度内容匹配算法细粒度的深度内容匹配算法 方便灵活的智能管理方便灵活的智能管理网络流量精准检测网络流量精准检测异常问题快速定位异常问题快速定位关键服务重点监控关键服务重点监控 实时安全的联动响应实时安全的联动响应实时的主动阻断实时的主动阻断多样的联动响应多样的联动响应入侵检测性能高效入侵检测性能高效USE引擎引擎多协议融合多协议融合分析技术分析技术

12、细粒度细粒度分析算法分析算法并行数据采集并行数据采集虚拟引擎技术虚拟引擎技术硬件级硬件级替换存储替换存储技术技术部署接入级提速部署接入级提速数数据据采采集集级级提提速速协议分析级提速协议分析级提速匹匹配配检检测测级级提提速速四四级级提提速速四四项项技技术术并行数据采集的虚拟引擎技术并行数据采集的虚拟引擎技术硬件级替换存储技术硬件级替换存储技术网御网御IDS替换存储技术替换存储技术标准标准TCP/IP协议栈处理机制协议栈处理机制多协议融合分析技术多协议融合分析技术细粒度分析算法细粒度分析算法基于应用协议完全解析ADI匹配算法CDI匹配算法多线程并行处理技术3000多条细粒度检测规则传统模式匹配与

13、基于协议分析的模式匹配的对比传统模式匹配与基于协议分析的模式匹配的对比EthernetIPTCP模式匹配模式匹配EthernetIPTCP智能协议分析智能协议分析HTTPUnicodeXML传统模式匹配与基于协议分析的模式匹配的对比传统模式匹配与基于协议分析的模式匹配的对比ClientServer无意义数据包无意义数据包- 10Ksynsyn, ackack真实攻击真实攻击基于会话的基于会话的 NIDS 检测到检测到1次攻击次攻击基于数据包的基于数据包的 NIDS 检测到检测到 20K+1次次 攻击攻击无意义数据包无意义数据包- 10K传统模式匹配与基于协议分析的性能对比传统模式匹配与基于协议

14、分析的性能对比线性匹配树型匹配O ( N )O ( logN )N N是规则数 规则数时间随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配方便灵活的智能管理方便灵活的智能管理网络流量精准检测：网络流量精准检测：实时记录并图形化显示当前正常和异常的网络流量和会话数；真实反映当前探测器处理能力，客观显示丢包数量，为设备科学合理部署提供依据。异常问题快速定位：异常问题快速定位：主机异常流量快速定位、IP/MAC地址捆绑和事件关联分析等功能，辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题。关键服务重点监控：关键服务重点监控：针对关键服务器可自定义事件特征、修改已有规则阈值，制定针对性的个性化检测策略，并实时监控服务运行状态，对针对性的攻击实现报警响应和阻断。统计报表灵活多样：统计报表