15 入侵检测系统技术培训

硬件级替换存储技术
网御IDS替换存储技术 替换存储技术 网御
标准TCP/IP协议栈处理机制 协议栈处理机制 标准
多协议融合分析技术
细粒度分析算法 • • • • • 基于应用协议完全解析 ADI匹配算法 CDI匹配算法 多线程并行处理技术 3000多条细粒度检测规则
传统模式匹配与基于协议分析的模式匹配的对比
扩展说明
联想网御IDS产品结构 联想网御IDS产品结构 IDS
配置 规则库
环境信息
报告与取证
流量统计 记录日志
响应
焦点窗口 声音报警
升级
控制台
报警
策略
参数
规则
报表
入侵响应
产品
探测引擎
切断会话
防火墙联动
入侵日志
SNMP Trap
邮件、短信报警
误用检测 引擎
口
异常检测 会话状态分析 / 应用协议分析
DoS/DDoS 检测 控 数 制
扩展说明
N3200产品说明 N3200产品说明
说明项 产品描述 说明 千兆标准型，2U机箱，热备冗余电源 适用于1G负载的千兆网络环境 通讯口 1个10/100M自适应电口 （管理口） 监听口 2个10/100/1000M自适应电口，2个GBIC插槽 （可插千兆GBIC多模光口/单模光口/电口模块)， 监听口可扩展为4个。 串口 1个RS-232口 如需支持3个监听口,可按客户需求选配1个相应“GBIC模块”， 可随主机同时下单;如已购买主机，则直接下单购买“GBIC模 块”升级为3个监听口,设备无需返厂； 不建议插2个GBIC模块来支持4个监听口，如需要请购买N5200。
常的网络流量和会话数；真实反映当前探测器处理能力，客观 显示丢包数量，ห้องสมุดไป่ตู้设备科学合理部署提供依据。
•
异常问题快速定位： 异常问题快速定位：主机异常流量快速定位、IP/MAC地址
捆绑和事件关联分析等功能，辅助网管员快速解决病毒爆发预 警和网关地址盗用快速定位等问题。
•
关键服务重点监控： 关键服务重点监控：针对关键服务器可自定义事件特征、
• • • • • • 安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负担
• 占用一定的系统资源
HIDS和NIDS的比较 HIDS和NIDS的比较
对比项 部署成本与部署风险 自身安全性 实时性 主机OS依赖性 是否影响业务系统的性能 误报率 监视系统行为 监视网络行为
扩展说明
N820产品说明 N820产品说明
说明项 产品描述 说明 百兆增强型，1U机箱，单电源 适用于200M负载的百兆网络环境 通讯口 1个10/100M自适应电口 （管理口） 监听口 1个10/100M自适应电口，2个10/100M自适应扩 展口（可设为监听口）。 串口 1个RS-232口 如需支持2或3个监听口，按用户手册通过串口对扩展口进行 相应配置即可，设备无需返厂。
IDS产品背景 IDS产品背景
复 杂 度
时间
传统的安全防御技术－防火墙 传统的安全防御技术－
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的 网络安全域之间的一系列部件的 一种高级访问控制设备，置于不同网络安全域 组合，它是不同网络安全域间通信流的唯一通道 唯一通道， 组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安 全政策控制 允许、拒绝、监视、记录）进出网络的访问行为。 全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 控制（
基于数据包的 NIDS 检测到 20K+1次 攻击 次
传统模式匹配与基于协议分析的性能对比
O(N) O ( logN ) N是规则数
时间
线性匹配 树型匹配
规则数
随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配
方便灵活的智能管理
• 网络流量精准检测： 网络流量精准检测：实时记录并图形化显示当前正常和异
模式匹配 智能协议分析
XML Unicode HTTP TCP IP Ethernet
TCP IP Ethernet
传统模式匹配与基于协议分析的模式匹配的对比
无意义数据包无意义数据包 10K syn syn, ack ack
真实攻击
Client
Server
无意义数据包无意义数据包 10K
基于会话的 NIDS 检测到1次攻击 检测到 次攻击
异常检测模型
异常检测(Anomaly Detection） 指根据使用者的行为或资源使用 状况来判断是否入侵，而不依赖 于具体行为是否出现来检测。
误用检测和异常检测的对比
对比项 检测准确性 误报率 未知攻击检测能力 系统相关性 新攻击方法检测能力
误用检测
高 低 弱 高 无
异常检测
低 高 强 无 具有
• 实时安全的联动响应
实时的主动阻断 多样的联动响应
入侵检测性能高效
部署接入级提速
并行数据采集 虚拟引擎技术
四 项 技 术
匹 配 检 测 级 提 速
细粒度 分析算法
USE 引擎
多协议融合 分析技术
硬件级 替换存储 技术
数 据 采 集 级 提 速
四 级 提 速
协议分析级提速
并行数据采集的虚拟引擎技术
修改已有规则阈值，制定针对性的个性化检测策略，并实时监 控服务运行状态，对针对性的攻击实现报警响应和阻断。
•
统计报表灵活多样： 统计报表灵活多样：提供50多种基本的日志与审计报告样
式，并支持用户灵活定制报告样式，支持将报告转换为MSWord、MS-Excel、Crystal、XML、RTF和HTML格式
HIDS
高 弱 强 高 高 低 强 无
NIDS
低 强 强 无 无 低 弱 强
误用检测和异常检测的对比 入侵检测模型
误用检测模型 误用检测模型
误用检测（ Misuse Detection ）指 运用已知攻击方法，根据已定义好的 入侵模式，通过判断这些入侵模式是 否出现来检测。 模式匹配为误用检测的典型应用
扩展说明
N120产品说明 N120产品说明
说明项 产品描述 说明 百兆标准型，1U机箱，单电源 适用于100M负载的百兆网络环境 通讯口 1个10/100M自适应电口 （管理口） 监听口 1个10/100M自适应电口，2个10/100M自适应扩 展口（可设为监听口）。 串口 1个RS-232口 如需支持2个监听口，按用户手册通过串口对扩展口进行相 应配置即可，设备无需返厂； 不建议支持3个监听口，如需要请购买N820。
NIDS在网络的位置
IDS
探测引擎
Internet
控制台
数据镜像
内部局域网
路由器
防火墙
交换机
NIDS部署环境1 NIDS部署环境1－共享环境 部署环境
Console
IDS Sensor
HUB
Monitored Servers
NIDS部署环境2 NIDS部署环境2－交换环境 部署环境
Console
• 防火墙不能安全过滤应用层的非法攻击，如unicode攻击 • 防火墙对不通过它的连接无能为力，如内网攻击等 • 防火墙采用静态安全策略技术，因此自身无法动态防御 新的非法攻击
IDS是什么 IDS是什么
• Intrusion Detection：通过从 计算机网络或系统中的若干关键 点收集信息并对其进行分析，从 中发现网络或系统中是否有违反 安全策略的行为和遭到入侵的迹 象的一种安全技术； • Intrusion Detection System： 作为防火墙的合理补充，入侵检 测技术能够帮助系统对付网络攻 击，扩展了系统管理员的安全管 理能力（包括安全审计、监视、 攻击识别和响应），提高了信息 安全基础结构的完整性。
IDS和防火墙的形象说明 IDS和防火墙的形象说明
IDS的分类 IDS的分类
• • • • 根据数据来源分类
主机入侵检测系统（HIDS） 网络入侵检测系统（NIDS）
根据分析方法分类
异常检测模型（Anomaly Detection Model） 误用检测模型（Misuse Detection Model）
网络流量检测精准
实时安全的联动响应
优势总结
• • • • • • • • 3000多条入侵检测规则 900多条蠕虫病毒检测规则 支持SSL加密数据检测 探测引擎安全性更高 多种多样的单独监控窗口 支持更多的防火墙联动协议并支持与路由器联动 支持向安全管理平台 无需安装的简单报警器
不设IP 不设
IDS Sensor Console
Switch
Monitored Servers
联想网御IDS
产 品 性 能
千兆 增强型 千兆 标准型 百兆 增强型 百兆 标准型 N120 N820 N3200 N5200
产品线
N5200产品说明 N5200产品说明
说明项 产品描述 说明 千兆增强型，2U机箱，热备冗余电源 适用于2G负载的千兆网络环境 通讯口 1个10/100M自适应电口 （管理口） 监听口 2个10/100/1000M自适应电口，2个GBIC插槽 （可插千兆GBIC多模光口/单模光口/电口模块)， 监听口可扩展为4个。 串口 1个RS-232口 如需支持3或4个监听口,可按客户需求选配1或2个相应 “GBIC模块”，可随主机同时下单；如已购买主机，则直接 下单购买“GBIC模块”升级为3或4个监听口,设备无需返厂。
联想网御IDS技术和功能介绍
研发四处 2007年 2007年4月
© 2007 联想网御
目 录
• • • • • • IDS产品背景 IDS产品背景 IDS是什么 IDS是什么 IDS的分类 IDS的分类 NIDS在网络中如何部署 NIDS在网络中如何部署 联想网御IDS IDS产品简介 联想网御IDS产品简介 联想网御IDS IDS的产品优势 联想网御IDS的产品优势
根据时效性分类
离线入侵检测系统（off-line IDS） 在线入侵检测系统（On-line IDS）
根据分布性分类
集中式 分布式
HIDS和NIDS的比较 HIDS和NIDS的比较 入侵检测系统
主机型入侵检测系统
• 安装于被保护的主机中 • 主要分析主机内部活动
系统日志 系统调用 文件完整性检查
网络型入侵检测系统
数
分流
规则
升 级
联想网御IDS引擎结构 联想网御IDS引擎结构 IDS
联想网御IDS的产品优势 联想网御IDS的产品优势 IDS • 高效精准的入侵检测
并行数据采集的虚拟引擎技术 硬件级的替换存储零拷贝技术 并行多协议融合分析技术 细粒度的深度内容匹配算法
• 方便灵活的智能管理
网络流量精准检测 异常问题快速定位 关键服务重点监控
安全域1 两个安全域之间通信流的唯一通道 Host A Host B Host C Host D 安全域2
Source
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则 决定进出网络的行为
Host A Host B
防火墙的局限性 关于防火墙
通过端口镜像实现
IDS Sensor Switch
（SPAN / Port Monitor）
Monitored Servers
NIDS部署环境3 NIDS部署环境3－分流环境 部署环境
TAP
IDS Sensor Console Switch
Monitored Servers
NIDS部署环境4 NIDS部署环境4－隐蔽模式 部署环境