入侵检测system的技术讲训.ppt

联想网御IDS技术和功能介绍 研发四处 2007年4月 IDS产品背景 IDS是什么 IDS的分类 NIDS在网络中如何部署 联想网御IDS产品简介 联想网御IDS的产品优势 IDS产品背景 传统的安全防御技术－防火墙 防火墙的局限性 关于防火墙 防火墙不能安全过滤应用层的非法攻击，如unicode攻击 防火墙对不通过它的连接无能为力，如内网攻击等 防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击 IDS是什么 Intrusion Detection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术； Intrusion Detection System：作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 IDS和防火墙的形象说明 IDS的分类 根据数据来源分类 主机入侵检测系统（HIDS） 网络入侵检测系统（NIDS） 根据分析方法分类 异常检测模型（Anomaly Detection Model） 误用检测模型（Misuse Detection Model） 根据时效性分类 离线入侵检测系统（off-line IDS） 在线入侵检测系统（On-line IDS） 根据分布性分类 集中式 分布式 HIDS和NIDS的比较 安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源 HIDS和NIDS的比较 误用检测和异常检测的对比 误用检测和异常检测的对比 NIDS在网络的位置 NIDS部署环境1－共享环境 NIDS部署环境2－交换环境 NIDS部署环境3－分流环境 NIDS部署环境4－隐蔽模式 联想网御IDS N5200产品说明 N3200产品说明 N820产品说明 N120产品说明 联想网御IDS产品结构 联想网御IDS引擎结构 联想网御IDS的产品优势 高效精准的入侵检测 并行数据采集的虚拟引擎技术 硬件级的替换存储零拷贝技术 并行多协议融合分析技术 细粒度的深度内容匹配算法 方便灵活的智能管理 网络流量精准检测 异常问题快速定位 关键服务重点监控 实时安全的联动响应 实时的主动阻断 多样的联动响应 入侵检测性能高效 并行数据采集的虚拟引擎技术 硬件级替换存储技术 多协议融合分析技术 细粒度分析算法 基于应用协议完全解析 ADI匹配算法 CDI匹配算法 多线程并行处理技术 3000多条细粒度检测规则 传统模式匹配与基于协议分析的模式匹配的对比 传统模式匹配与基于协议分析的模式匹配的对比 传统模式匹配与基于协议分析的性能对比 方便灵活的智能管理 网络流量精准检测：实时记录并图形化显示当前正常和异常的网络流量和会话数；真实反映当前探测器处理能力，客观显示丢包数量，为设备科学合理部署提供依据。 异常问题快速定位：主机异常流量快速定位、IP/MAC地址捆绑和事件关联分析等功能，辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题。 关键服务重点监控：针对关键服务器可自定义事件特征、修改已有规则阈值，制定针对性的个性化检测策略，并实时监控服务运行状态，对针对性的攻击实现报警响应和阻断。 统计报表灵活多样：提供50多种基本的日志与审计报告样式，并支持用户灵活定制报告样式，支持将报告转换为MS-Word、MS-Excel、Crystal、XML、RTF和HTML格式 网络流量检测精准 实时安全的联动响应 优势总结 3000多条入侵检测规则 900多条蠕虫病毒检测规则 支持SSL加密数据检测 探测引擎安全性更高 多种多样的单独监控窗口 支持更多的防火墙联动协议并支持与路由器联动 支持向安全管理平台 无需安装的简单报警器 Ethernet IP TCP 模式匹配 Ethernet IP TCP 智能协议分析 HTTP Unicode XML Client Server 无意义数据包- 10K syn syn, ack ack 真实攻击 基于会话的 NIDS ? 检测到1次攻击 基于数据包的 NIDS ? 检测到 20K+1次 攻击 无意义数据包- 10K 线性匹配 树型匹配 O ( N ) O ( logN ) N是规则数 规则数 时间 随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配 攻击手段日趋复杂，但应用日趋简单。早期由于计算机的应用不是很广泛，所以都是比较专业的Hacker才进行攻击，而随着计算机的广泛应用，现在很多的Hacker都制作了自动的攻击工具，比如自动病毒制作工具，CC攻击，都是很傻瓜式的攻击工具。使得攻击行为发生情况越来