入侵检测系统技术培训PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
扩展说明
通讯口 1个10/100M自适应电口
(管理口)
监听口
2个10/100/1000M自适应电口,2个GBIC插槽 (可插千兆GBIC多模光口/单模光口/电口模块), 监听口可扩展为4个。
串口 1个RS-232口
如需支持3个监听口,可按客户需求选配1个相应“GBIC模块”, 可随主机同时下单;如已购买主机,则直接下单购买“GBIC模 块”升级为3个监听口,设备无需返厂;
• Intrusion Detection System: 作为防火墙的合理补充,入侵检 测技术能够帮助系统对付网络攻 击,扩展了系统管理员的安全管 理能力(包括安全审计、监视、 攻击识别和响应),提高了信息 安全基础结构的完整性。
IDS和防火墙的形象说明
IDS的分类
• 根据数据来源分类
➢ 主机入侵检测系统(HIDS) ➢ 网络入侵检测系统(NIDS)
• 根据分析方法分类
➢ 异常检测模型(Anomaly Detection Model) ➢ 误用检测模型(Misuse Detection Model)
• 根据时效性分类
➢ 离线入侵检测系统(off-line IDS) ➢ 在线入侵检测系统(On-line IDS)
• 根据分布性分类
➢ 集中式 ➢ 分布式
NIDS在网络的位置
IDS
控制台
Internet
探测引擎
数据镜像
路由器
防火墙 交换机
内部局域网
NIDS部署环境1-共享环境
IDS Sensor
Console HUB
Monitored Servers
NIDS部署环境2-交换环境
IDS Sensor
Console
通过端口镜像实现
Switch
(SPAN / Port Monitor)
联想网御IDS技术和功能介绍
研发四处 2007年4月
© 2007 联想网御
目录
•
IDS产品背景
•
IDS是什么
•
IDS的分类
•
NIDS在网络中如何部署
•
联想网御IDS产品简介
•
联想网御IDS的产品优势
IDS产品背景
复 杂 度
时间
传统的安全防御技术-防火墙
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的 组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安 全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
关于防火墙
• 防火墙不能安全过滤应用层的非法攻击,如unicode攻击 • 防火墙对不通过它的连接无能为力,如内网攻击等 • 防火墙采用静态安全策略技术,因此自身无法动态防御
新的非法攻击
IDS是什么
• Intrusion Detection:通过从 计算机网络或系统中的若干关键 点收集信息并对其进行分析,从 中发现网络或系统中是否有违反 安全策略的行为和遭到入侵的迹 象的一种安全技术;
异常检测模型
异常检测(Anomaly Detection) 指根据使用者的行为或资源使用 状况来判断是否入侵,而不依赖 于具体行为是否出现来检测。
误用检测和异常检测的对比
对比项
检测准确性 误报率 未知攻击检测能力 系统相关性 新攻击方法检测能力
误用检测
高 低 弱 高 无
异常检测
低 高 强 无 具有
串口 1个RS-232口 如需支持2或3个监听口,按用户手册通过串口对扩展口进行 相应配置即可,设备无需返厂。
N120产品说明
HIDS和NIDS的比较
对比项
部署成本与部署风险 自身安全性 实时性 主机OS依赖性 是否影响业务系统的性能 误报率 监视系统行为 监视网络行为
HIDS
高 弱 强 高 高 低 强 无
NIDS
低 强 强 无 无 低 弱 强
误用检测和异常检测的对比 入侵检测模型
误用检测模型
误用检测( Misuse Detection )指运用已知攻击方法, 根据已定义好的入侵模式,通过判断 这些入侵模式是否出现来检测。 模式匹配为误用检测的典型应用
千兆
增强型
千兆 标准型
百兆 增强型
百兆 标准型
N120
N820
N3200
N5200 产品线
N5200产品说明
说明项
说明
产品描述 扩展说明
千兆增强型,2U机箱,热备冗余电源
适用于2G负载的千兆网络环境
通讯口 1个10/100M自适应电口
(管理口)
监听口
2个10/100/1000M自适应电口,2个GBIC插槽 (可插千兆GBIC多模光口/单模光口/电口模块), 监听口可扩展为4个。
不建议插2个GBIC模块来支持4个监听口,如需要请购买N5200。
N820产品说明
说明项
说明
产品描述 百兆增强型,1U机箱,单电源 适用于200M负载的百兆网络环境
扩展说明
通讯口 1个10/100M自适应电口 (管理口)
监听口 1个10/10wk.baidu.comM自适应电口,2个10/100M自适应扩 展口(可设为监听口)。
安全域1 Host A Host B
两个安全域之间通信流的唯一通道
安全域2 Host C Host D
根据访问控制规则 决定进出网络的行为
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
防火墙的局限性
串口 1个RS-232口
如需支持3或4个监听口,可按客户需求选配1或2个相应 “GBIC模块”,可随主机同时下单;如已购买主机,则直接 下单购买“GBIC模块”升级为3或4个监听口,设备无需返厂。
N3200产品说明
说明项
说明
产品描述 千兆标准型,2U机箱,热备冗余电源 适用于1G负载的千兆网络环境
Monitored Servers
NIDS部署环境3-分流环境
TAP
IDS Sensor Console
Switch
Monitored Servers
NIDS部署环境4-隐蔽模式
不设IP
Console
IDS Sensor
Switch
Monitored Servers
联想网御IDS
产 品 性 能
HIDS和NIDS的比较 入侵检测系统
主机型入侵检测系统
• 安装于被保护的主机中 • 主要分析主机内部活动
➢ 系统日志 ➢ 系统调用 ➢ 文件完整性检查
• 占用一定的系统资源
网络型入侵检测系统
• 安装在被保护的网段中 • 混杂模式监听 • 分析网段中所有的数据包 • 实时检测和响应 • 操作系统无关性 • 不会增加网络中主机的负担