SecIDS入侵检测系统(新系列)技术培训课件

模式匹配
协议分析
• 概念：IDS引擎采用DPI技术，深入读取IP包载荷的内容来对 OSI2-7层协议中的应用层信息进行重组，从而完成协议识别及应 用识别。 协议分析主流技术分类
协议识别种类 协议识别方式 处理速度 维护成本 准确性 端口识别 端口 很快 极少更新 一般 DFI（深度流检测） 流特征 快 不频繁 准确 DPI（深度包检测） 内容（特殊字段） 较慢 经常更新 精确
模式匹配
• 概念：滥用检测也称为模式匹配 。这种方法探测与具体特征相匹 配的入侵行为。这些签名特征基于规则库。 • 优点： 1.特征是基于已知的入侵行为 2.配置后立即就能探测攻击者 • 缺点： 1.需要更新特征数据库 2. 未知攻击、变形攻击无法检测 3.计算量大
目录 • • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
2U
2U
电源配置
单电源
单电源
单电源
冗余电源
单电源
冗余电源
冗余电源
监控流量
300M
600M
1200M
1200M
2000M
2000M
4000M
DM-2X DM-8T DM-8S
扩展模块
N/A
技术1：领先的检测技术
低层协议分析 应用层协议预处理 应用层协议分析 基于状态的应用层协议分析
数据包重组
碎片整理 重新排序
D1500T602P
6电
D5000TA02P
6电2光
D5000TA02M
6电2光
D5000TA22P
6电4光
wenku.baidu.com
D5000TA22M
6电4光
D10000TB22M
2电4扩展
硬 件 指 标
液晶配置
支持液晶屏
支持液晶屏
支持液晶屏
支持液晶屏
支持液晶屏
支持液晶屏
支持液晶屏
物 理 特 性
机型型态
1U
1U
2U
2U
2U
新版IDS优势
性能提升
功能完善
新版IDS功能优势
功能 现有版本 新版本
特征库数量
IPv6 僵尸网络识别 虚拟通道软件识别 全局预警 管理员多鉴别机制 操作员ip地址限定
2000+
不全 无 无 无 无 无
2500+
全面支持 有 有 有
有
有
（OTP一次性密码验证）
新版IDS性能优势
性能提升
新版产品性能全面超越现有版本——性价比更高 新版推出最高端万兆IDS——性能不再是瓶颈 新版最高端接口模块化组合——满足灵活定制需求
异常检测
• 概念： 异常检测也称为模型检测，需要为用户组建立模型。模型 中包含典型用户习惯。模型中为用户定义了行为特征，为每个用 户执行正常任务定义了一个基线。 • 优点： 1.支持对虚假报警的可调控性 2.检测以前未发布的攻击 • 缺点 1.用户习惯改变时，必须更新用户模型 2.很难把特定的攻击与报警相关联 3.复杂而且难于理解
• 特征库在线、离
线升级
• 基于接口的策略
配置
• 时间同步
特色1：全面的攻击检测
识别
模式匹配 协议分析 异常行为
检测
SQL注入 缓冲区溢出 Web攻击 Android攻击 违规应用 RBL
Dos/DDos
僵尸网络 端口扫描 蠕虫木马
特色2：灵活的告警策略
新版IDS标志
新版标志 全线支持液晶屏
管理IP、设备IP、资源使用率
——设备状态直观呈现
新版IDS最高端产品
新 版 ︕
最 高 端
目录
• • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
安装软件
• 安装环境 :Windows XP/7 server 2003/2008/2012
• 支持Windows 32位和64位系统
• Java&JME： JRE6U45 & JME • MySQL：5.1.54 （32位或64位）
• 控制台：入侵检测管理控制台
安装JAVA
安装JME
安装JME
目录
• • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
什么是入侵检测系统
• 旁路部署设备：通过与交换机的镜像口连接，检测网络上或操作系统上可 疑行为并记录下来，作出反映（实时告警）通知网络管理员采取相应的解 决措施，最大限度的保障网络系统安全。 • 防火墙的合理补充：一是检测并记录网络上的攻击行为，二是可通过管理 员的权限（包括安全审计、攻击识别和配置响应方式等）提高信息安全基 础结构的完整性。认为是防火墙的第二道安全闸门。
协议分析
签名特征匹配
流的重组 序列号
技术2：协议异常行为分析
主要针对2层-4层的分析、检测
技术3：特征匹配
主要针对特征签名的匹配
目录 • • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
IDS与防火墙关系
IDS vs 防火墙 ？
IDS作为网络安全的第二道闸门
是防火墙的有力补充
IDS与防火墙关系
传统防火墙
IDS
传统防火墙：合规的请求中加载着攻击行为，防火墙无法识别。
IDS检测被放行的数据包，发现攻击行为可以及时告警，并与防火墙联动
新版IDS介绍
让我们来认识
新版 NGIDS
自动报表
内容：内置7种样板，支持自定义报表样板 输出格式：支持HTML、PDF、CSV、Word 计划任务：支持周期或一次生成报表 保存方式：支持email、FTP、本地保存
交叉报表
时间对象：日/月/周
统计对象：来源/目的/名称 排名对象：Top 5 - 10
事后审计 是IDS的核心之一 帮助管理员掌握整体威胁状况，找出攻击源
安装MySQL
配置MySQL
安装控制台前注意事项
• 安装过程中提示缺少MSVCR文件时， 需做以下操作：
• 32位系统 将MSVCR71.dll拷贝至 C:\Windows\System32
• 64位系统 将MSVCR71.dll拷贝至 C:\windows\SysWoW64
• 注意：如果不做该操作会导致控制台安装完成后服务不能启动
典型案例——金税三期项目
防护总体结构
在数据中心（北京）和数据中心（南海 ）的骨干核心交换区上分别部署2台高性 能千兆入侵检测引擎
在各省局核心交换区上分别部 署2台千兆入侵检测引擎
在各地（市）局核心交换区上 分别部署1台高性能千兆入侵检 测引擎，采用双路监听
典型案例——金税三期项目
南海部署结构
安全管理区部署网神安全管理系统，通过
部署网神安全管理系统
入侵检测引擎
在各省国税局数据中心核心交换机上分
别部署1台千兆入侵检测引擎，通过入 侵检测系统对数据中心网络的核心数据 进行检测
典型案例——金税三期项目
地市级部署结构
在各地（市）国税局安全管理区部署网神
安全管理系统，实现对各地（市）局网神 入侵检测系统的集中管控。
部署网神安全管理系统
• 特点：在不影响网络性能和正常通信的情况下，可对内外部攻击行为等进 行实时监测，是安全防御组件的一个重要组成部分。
什么是入侵检测系统
从不知 到有知
技术层面：对具体的安全技术人员， 可以利用IDS做为工具来发现安全问题、 解决问题。
什么是入侵检测系统
从预警 到保障
意识层面：对政府或者大的行业来 说，是可以通过IDS来建立一套完 善的网络预警与响应体系，减小安 全风险。
IDS_01 协议异常行为分析
IDS_03 攻击响应
通讯端口示意图
DUC升级 数据库 引擎与 管理服务器 控制台与 管理服务器
TCP 443/8861 TCP 3306 TCP 7595 UDP 7596 TCP 7594 TCP 8088/8863
入侵分析技术
入侵分析技术主要有三大类
协议分析 异常检测
IPv6/v4 双栈协议
应用
TCP / UDP
IPv4协议栈
IPv6协议栈
网络（以太网）
特色4：丰富的报表展现
统计报表
严重程度趋势图 攻击种类趋势图 服务统计图 严重程度统计图 攻击种类统计图 Top 10攻击来源 Top 10攻击目的 Top 10 攻击来源至目的 Top 10 攻击名称
工作时间 8:00-17:00
丰富的告警方式提示威胁发生 根据时间制定不同的响应策略 与防火墙联动 阻断高危攻击 支持标准接口告警事件外报
工作时间
下班时间
特色3：适用常见网络环境
网络环境支持
支持MPLS、VLAN网络环境部署 具备双协议栈(dual stack)架构，能同时识别 IPv4和IPv6通讯流量。 实现对IPv6网络、IPv4网络以及IPv6/v4混合 网络环境中的攻击检测
系统架构
Plug-in 控制台 Java Run-Time Environment (JRE) Microsoft® Windows 操作系统平台 数据库系统
逻辑架构及数据处理流程
MS_01 可靠时间戳 MS_02 特征码更新 MS_03 系统管理
IDS_02 特征匹配
MS_04 日志及报表
MS_05 用户管理
主要功能简介
•
攻击检测
•
策略配置
•
事件响应
•
系统管理
• 2500条检测特
• 内置典型模板 • 缺省策略恢复
• 事件实时显示
• 事件过滤、归并 • 事件断网续传 • 事件备份恢复 • 多种报警响应 • 多种统计报表
• 拓扑管理组件 • 引擎状态监控 • 双因素登录认证 • 液晶屏显示
征库
• 入侵逃逸检测 • 异常流量检测 • 流量协议分析
该系统，对总局和各省局网神入侵检测系 统的集中管控
部署网神安全管理系统
入侵检测引擎
在2台核心交换机上分别部署1台千兆入
侵检测引擎，通过入侵检测系统对数据 中心网络的核心数据进行检测
典型案例——金税三期项目
省国税局部署结构
在各省国税局安全管理区部署网神安全
管理系统，实现对各省局及下辖各地（
市）局网神入侵检测系统的集中管控
头，及时采取措施
产品全景图
万兆
D10000-TB22M
D5000-TA22P/D5000-TA22M
千兆
D5000-TA02P/D5000-TA02M D1500-T602P
百兆
D1500-T302P
入门级 中小型企业级 中型企业级 大型企业级
产品规格型号
产品型号
接口配置
D1500T302P
6电2光
安装控制台
Console配置
服务启动
随Windows服务自动启动
点击桌面的服务手动启动
控制台登录
登录网址 http://管理服务器IP:8088/SecIDS3600/
账号管理员配置
审计管理员配置
操作管理员配置
操作管理员配置
目录
• • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
入侵检测引擎
在各地（市）局核心交换区部署1台千兆入
侵检测引擎，监听2台核心交换机的流量，
通过入侵检测系统对通信流量检测
典型案例——金税三期项目
多级管理结构
在国税总局数据中心（北京、南海）节点部署网神安全管理系统，负责管理总局和各省级局的入侵检测 系统；各省级国税局的安全管理系统，负责管理本省局和与之相连的各地（市）级局的入侵检测系统； 各地（市）级国税局的安全管理系统，负责管理本地（市）局的入侵检测系统。
网神SecIDS 3600入侵检测系统
（新版）
技术培训
技术服务中心
目录
• • • • • • 网神IDS 产品简介 网神IDS 产品架构、技术原理 网神IDS 产品功能、性能及关键技术详解 网神IDS 产品配置及上线实施指南 网神IDS 产品典型应用案例技术剖析 网神IDS 产品技术支持与维护经验分享
典型案例——金税三期项目
国家税务总局为国务院主管税收工作 的直属机构（正部级）。
关注重点：
• • • • •
各种威胁检测 快速安全预警 全网部署多级管理 对新型攻击的快速响应 可靠性
2012年网神中标金税三期十九省市近400台入侵检测产品，并于同年陆续实施 建设完成，2013年至今多省地税对网神入侵检测产品进行了续采。