网神SecIDS-3600入侵检测系统技术白皮书-09V1.0.doc

按需构建协同部署

网神SecIDS3600入侵检测系统

技术白皮书

LegendsecSecIDS3600IntrusionDetectionSystem

TechnologyWhitepaper

(LS-SP-T-IDS2.0)

网御神州科技〔北京〕

文档说明

本文的内容是网神SecIDS3600入侵检测系统技术白皮书。文中的资料、说明等相关内容归网御神州科技〔北京〕所有。本文中的任何局部未经网御神州科技〔北京〕〔以下简称“网御神州”〕许可，不得转印、影印或复印。

网神SecIDS3600入侵检测系统技术白皮书

2006-2008?版权所有网御神州科技〔北京〕

北京海淀区上地开拓路7号先锋大厦二段1层

2Section1F,XianfengBuilding,No.7KaituoRoad,HaidianDistrict,Beijing

客服热线〔CustomerHotline〕：400-610-8220

〔Fax〕：010〔PostCode〕：100085

目录

TOC\o1-3\h\z\u1 产品概述 3

1.1 入侵检测系统工作流程 3

1.2 入侵检测系统的根本架构 4

1.3 主流入侵检测技术 5

模式匹配技术 5

异常检测技术 5

协议分析技术 6

1.4 常见部署方式 7

2 产品架构 9

2.1 系统组件 9

2.2 系统架构 10

管理控制台 11

事件收集器 11

传感器 12

3 技术特点 12

3.1 基于状态的协议分析 12

3.2 自动识别目标操作系统 13

3.3 应用层有限状态机技术 13

3.4 多端口智能关联与分析 13

3.5 高性能硬件平台 13

3.6 独特高效的行为描述语言 14

3.7 基于漏洞检测蠕虫 14

3.8 反IDS逃避 14

3.9 非标准通信协议的鉴别 15

3.10 严密监视P2P、IM等应用 15

3.11 完整的审计记录 15

3.12 详尽全面的自定义功能 16

4 产品部署 18

4.1 中小型网络环境 18

4.2 分布式网络环境 18

产品概述

随着计算机信息技术的日益开展与完善，互联网技术的普及和开展，给人民生活提供了很多的便利，网络成为人们生活中重要组成的局部。然而，网络的快速开展也给黑客提供了更多的危及着计算机网络信息平安的手段和方法，网络信息平安也成为我们关注的焦点。

网神SecIDS3600入侵检测系统是基于我们对网络平安技术和黑客技术多年研究的根底上开发的网络入侵检测系统。网神SecIDS3600入侵检测系统是一项创新性的网络威胁和流量分析系统，它综合了网络监控和入侵检测功能。它能够实时监控网络传输，通过对高速网络上的数据包捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对以往的行为和事件的统计分析，自动发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，帮助企业最大限度的保护公司内部的网络平安。

入侵检测系统工作流程

通常入侵检测系统为了分析、判断特定行为或者事件是否为违反平安策略的异常行为或者攻击行为，需要经过以下四个阶段：

〔1〕数据采集

网络入侵检测系统〔NIDS〕或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。

〔2〕数据过滤

根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。

〔3〕攻击检测/分析

根据定义的平安策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击区分，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。

〔4〕事件报警/响应

当IDS一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反响，通常都包括通知管理员、记录在数据库。

入侵检测系统的根本架构

信息的收集主要由Sensor负责，sensor称为网络传感器，它对网络数据进行监听，因为性能和平安的需求，现在的传感器多采用专用的设备来实现，它的一块网卡通过混杂模式连接在被检测的网段上负责收集网络数据包，另一块网卡用于管理，其它模块负责分析和处理数据包。因此，信息收集需要在网络系统中的假设干不同网段关键点进行收集，因为入侵检测很大程度上依赖于收集信息的可靠性和正确性。

信息分析是IDS技术中的核心问题，采用什么样的检测技术直接关系到报警信息