•PPT名称:32pt黑体,白色•单位名称:如售前方案处等24pt黑体,绿色©2007联想网御联想网御IDS技术和功能介绍研发四处2007年4月•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色•IDS产品背景•IDS是什么•IDS的分类•NIDS在网络中如何部署•联想网御IDS产品简介•联想网御IDS的产品优势目录•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色IDS产品背景复杂度时间•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色传统的安全防御技术-防火墙一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为安全域2HostCHostD安全域1HostAHostB•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色防火墙的局限性关于防火墙•防火墙不能安全过滤应用层的非法攻击,如unicode攻击•防火墙对不通过它的连接无能为力,如内网攻击等•防火墙采用静态安全策略技术,因此自身无法动态防御新的非法攻击•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色IDS是什么•IntrusionDetection:通过从计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术;•IntrusionDetectionSystem:作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色IDS和防火墙的形象说明•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色IDS的分类•根据数据来源分类主机入侵检测系统(HIDS)网络入侵检测系统(NIDS)•根据分析方法分类异常检测模型(AnomalyDetectionModel)误用检测模型(MisuseDetectionModel)•根据时效性分类离线入侵检测系统(off-lineIDS)在线入侵检测系统(On-lineIDS)•根据分布性分类集中式分布式•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色HIDS和NIDS的比较•安装于被保护的主机中•主要分析主机内部活动系统日志系统调用文件完整性检查•占用一定的系统资源•安装在被保护的网段中•混杂模式监听•分析网段中所有的数据包•实时检测和响应•操作系统无关性•不会增加网络中主机的负担入侵检测系统网络型入侵检测系统主机型入侵检测系统•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色HIDS和NIDS的比较对比项HIDSNIDS部署成本与部署风险高低自身安全性弱强实时性强强主机OS依赖性高无是否影响业务系统的性能高无误报率低低监视系统行为强弱监视网络行为无强•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色误用检测和异常检测的对比入侵检测模型异常检测(AnomalyDetection)指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。误用检测(MisuseDetection)指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。模式匹配为误用检测的典型应用异常检测模型误用检测模型•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色误用检测和异常检测的对比对比项误用检测异常检测检测准确性高低误报率低高未知攻击检测能力弱强系统相关性高无新攻击方法检测能力无具有•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色NIDS在网络的位置探测引擎交换机数据镜像控制台Internet路由器内部局域网IDS防火墙•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色NIDS部署环境1-共享环境HUBIDSSensorMonitoredServersConsole•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色NIDS部署环境2-交换环境SwitchIDSSensorMonitoredServersConsole通过端口镜像实现(SPAN/PortMonitor)•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色NIDS部署环境3-分流环境SwitchIDSSensorMonitoredServersConsoleTAP•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色NIDS部署环境4-隐蔽模式SwitchIDSSensorMonitoredServersConsole不设IP•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色联想网御IDS产品线产品性能千兆标准型N3200百兆标准型N120N820百兆增强型千兆增强型N5200•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色N5200产品说明说明项说明产品描述千兆增强型,2U机箱,热备冗余电源适用于2G负载的千兆网络环境通讯口(管理口)1个10/100M自适应电口监听口2个10/100/1000M自适应电口,2个GBIC插槽(可插千兆GBIC多模光口/单模光口/电口模块),监听口可扩展为4个。串口1个RS-232口扩展说明如需支持3或4个监听口,可按客户需求选配1或2个相应“GBIC模块”,可随主机同时下单;如已购买主机,则直接下单购买“GBIC模块”升级为3或4个监听口,设备无需返厂。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色N3200产品说明说明项说明产品描述千兆标准型,2U机箱,热备冗余电源适用于1G负载的千兆网络环境通讯口(管理口)1个10/100M自适应电口监听口2个10/100/1000M自适应电口,2个GBIC插槽(可插千兆GBIC多模光口/单模光口/电口模块),监听口可扩展为4个。串口1个RS-232口扩展说明如需支持3个监听口,可按客户需求选配1个相应“GBIC模块”,可随主机同时下单;如已购买主机,则直接下单购买“GBIC模块”升级为3个监听口,设备无需返厂;不建议插2个GBIC模块来支持4个监听口,如需要请购买N5200。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色N820产品说明说明项说明产品描述百兆增强型,1U机箱,单电源适用于200M负载的百兆网络环境通讯口(管理口)1个10/100M自适应电口监听口1个10/100M自适应电口,2个10/100M自适应扩展口(可设为监听口)。串口1个RS-232口扩展说明如需支持2或3个监听口,按用户手册通过串口对扩展口进行相应配置即可,设备无需返厂。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色N120产品说明说明项说明产品描述百兆标准型,1U机箱,单电源适用于100M负载的百兆网络环境通讯口(管理口)1个10/100M自适应电口监听口1个10/100M自适应电口,2个10/100M自适应扩展口(可设为监听口)。串口1个RS-232口扩展说明如需支持2个监听口,按用户手册通过串口对扩展口进行相应配置即可,设备无需返厂;不建议支持3个监听口,如需要请购买N820。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色联想网御IDS产品结构探测引擎会话状态分析/应用协议分析误用检测异常检测DoS/DDoS检测入侵响应切断会话防火墙联动入侵日志邮件、短信报警SNMPTrap控制台配置策略参数环境信息规则库规则报告与取证流量统计报警报表响应记录日志焦点窗口声音报警升级产品规则升级控制虚拟引擎并行数据采集端口镜像分流多路数据组合•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色联想网御IDS引擎结构•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色联想网御IDS的产品优势•高效精准的入侵检测并行数据采集的虚拟引擎技术硬件级的替换存储零拷贝技术并行多协议融合分析技术细粒度的深度内容匹配算法•方便灵活的智能管理网络流量精准检测异常问题快速定位关键服务重点监控•实时安全的联动响应实时的主动阻断多样的联动响应•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色入侵检测性能高效USE引擎多协议融合分析技术细粒度分析算法并行数据采集虚拟引擎技术硬件级替换存储技术部署接入级提速数据采集级提速协议分析级提速匹配检测级提速四级提速四项技术•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色并行数据采集的虚拟引擎技术•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色硬件级替换存储技术网御IDS替换存储技术标准TCP/IP协议栈处理机制•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色多协议融合分析技术•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色细粒度分析算法•基于应用协议完全解析•ADI匹配算法•CDI匹配算法•多线程并行处理技术•3000多条细粒度检测规则•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色传统模式匹配与基于协议分析的模式匹配的对比EthernetIPTCP模式匹配EthernetIPTCP智能协议分析HTTPUnicodeXML•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色传统模式匹配与基于协议分析的模式匹配的对比ClientServer无意义数据包-10Ksynsyn,ackack真实攻击基于会话的NIDS检测到1次攻击基于数据包的NIDS检测到20K+1次攻击无意义数据包-10K•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色传统模式匹配与基于协议分析的性能对比线性匹配树型匹配O(N)O(logN)N是规则数规则数时间随着规则数的增大,树型匹配的消耗时间的增长速度远远低于线性匹配•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色方便灵活的智能管理•网络流量精准检测:实时记录并图形化显示当前正常和异常的网络流量和会话数;真实反映当前探测器处理能力,客观显示丢包数量,为设备科学合理部署提供依据。•异常问题快速定位:主机异常流量快速定位、IP/MAC地址捆绑和事件关联分析等功能,辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题。•关键服务重点监控:针对关键服务器可自定义事件特征、修改已有规则阈值,制定针对性的个性化检测策略,并实时监控服务运行状态,对针对性的攻击实现报警响应和阻断。•统计报表灵活多样:提供50多种基本的日志与审计报告样式,并支持用户灵活定制报告样式,支持将报告转换为MS-Word、MS-Excel、Crystal、XML、RTF和HTML格式•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色网络流量检测精准•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色实时安全的联动响应•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色优势总结•3000多条入侵检测规则•900多条蠕虫病毒检测规则•支持SSL加密数据检测•探测引擎安全性更高•多种多样的单独监控窗口•支持更多的防火墙联动协议并支持与路由器联动•支持向安全管理平台•无需安装的简单报警器