1、聯想網御入侵檢測系統培訓目錄入侵檢測的作用聯想網御入侵檢測的產品功能聯想網御入侵檢測的產品特點入侵檢測的形態入侵檢測系統一般是軟件形式或是軟硬件結合的形式.我們的產品是軟硬件結合的方式（硬件探測器與控制臺光盤）：入侵手段的特點 現代入侵攻擊技術 入侵所需知識 入侵檢測系統與防火墻下圖表現了防火墻與入侵檢測系統之間的協作關系，共同運作，達到提升網絡安全等級的目的。發現（detect）審計（audit）保護（Protect）FWIDS網御入侵檢測產品介紹NIDS分類：基于所分析的數據對象基于數據包分析的 NIDS這種NIDS 是建立在組成會話的每個數據包的基礎上幾乎所有商用 NIDS 都是這種類型

2、，還包括 Snort等軟件優勢 簡單的規則匹配，易于實現缺點 在檢測實時攻擊時性能不高，誤報率高基于會話分析的 NIDS這種NIDS 按照server-client間的通信內容，把數據包重組為 連續的會話流。優勢 檢測實時攻擊時性能優良，低誤報率缺點 在會話沒建立的情況下，檢測能力差網御入侵檢測產品介紹為什么基于會話的 NIDS 比基于數據包的更優秀？ClientServerGET /cgi-bin/phf?synsyn, ack ack基于數據包的NIDS通過簡單的 get /cgi-bin/phf特征碼匹配就判斷為攻擊網御入侵檢測產品介紹為什么基于會話的 NIDS 比基于數據包的更優秀？C

3、lientServer無意義數據包- 10Ksynsyn, ackack真實攻擊基于會話的 NIDS 檢測到1次攻擊基于數據包的 NIDS 檢測到 21K 攻擊無意義數據包- 10K由于基于會話的NIDS對于整個會話流進行分析,因此可有效地過濾虛假攻擊。因此防止事件風暴產生的同時,還提高了檢測準確度網御IDS的功能介紹檢測與分析功能 告警與響應功能報表與審計功能自身安全性功能管理與配置功能規則升級與技術支持網御入侵檢測產品介紹檢測與分析功能采用基于AMPFAT技術的LEADER引擎，支持事件統計 分析，協議異常檢測，可有效防止各種攻擊欺騙；在MAC Layer中檢測及響應，提高系統效率；會話級

4、碎片重組，對付數據包分割攻擊告警與響應功能在發現入侵或者異常行為之后，可以根據安全規則提供 電子郵件，聲訊警示，消息警示窗，TCP阻斷等多種響 應方式；并且可以與聯想網御2000防火墻聯動，及時切斷入侵通 道，達到主動式防御目的；網御入侵檢測產品介紹報表與審計功能提供20多種基本的日志與審計報告樣式，并支持用戶靈 活定制報告樣式，支持將報告轉換為MS-Office 或 HTML 格式；可實時以圖表的形成顯示各個探測器(Sensor)所監視的 網絡情況，包括PPS(packet/sec)，BPS(bit/sec) Seesion個數等；能夠生成多個探測器的綜合分析報告；網御入侵檢測產品介紹管理與

5、配置功能支持探測器(Sensor)和管理控制臺(Manager)之間多 對多的分布式管理；可遠程設置探測器（Sensor）的環境，入侵檢測規則 及響應方法；可配置在線升級和備份、完整性(Integrity)檢查等計 劃任務，按用戶希望的時間周期自動執行；用戶可定制管理員視圖； 網御IDS的產品特點介紹自身安全性高碎片重組與其他安全產品協同靈活的管理控制方式龐大的入侵檢測規則庫內容豐富的報表系統實時監控網絡流量完善的日志庫管理多種多樣的響應方式產品特點自身安全性高聯想網御入侵檢測系統隱藏了自身探測IP從而避開黑客對入侵檢測系統的直接攻擊聯想網御入侵檢測系統的探測器和管理控制臺之間采用基于公用密鑰

6、的認證及SSL加密通訊，確保了認證及事件傳輸的安全系統在啟動時自動執行完整性檢查，使得系統安全得到了進一步的增強產品特點碎片重組功能有一些攻擊行為會以IP碎片的方式進行。如果不能對以碎片的形式傳播的數據進行很好的重組，就不可能對整個網絡中的行為進行完整的監測。另外，還有基于IP碎片的欺騙攻擊。攻擊者發送大量IP碎片包來達到阻塞IDS的目的，網御IDS可以分辨出這種異常的分片。碎片攻擊過程Internet110010101100010101000010101(attack)分片、亂序(tatkca)0000101011000101011100101011100101011000101010000

7、10101重組接收數據(attack)被攻擊攻擊攻擊特征報警產品特點與其他安全產品的協同工作可以很好的與聯想網御2000防火墻進行聯動向SNMP系統傳遞IDS報警日志linda mark bob charles 受保護網絡Internet發起攻擊發送通知報文驗證報文并采取措施發送響應報文識別出攻擊行為阻斷連接或者報警等攻擊網御發送消息給SNMP系統靈活的管理控制方式管理控制臺與探測器的連接方式可以靈活設置： 注：虛線表示可以有也可以沒有 產品特點主控制臺副控制臺產品特點龐大的入侵檢測規則庫聯想網御入侵檢測系統的檢測規則庫由國家反計算機入侵和防病毒研究中心與聯想公司合作建設。依托聯想公司和國家反

8、計算機入侵和防病毒研究中心強大的資源投入，保證了檢測規則庫的權威性和時效性聯想網御入侵檢測系統目前擁有1,600多種入侵探測攻擊特征（Signature），可以探測所有已知的入侵，并做出響應；此外，用戶還可自定義新的攻擊特征（Signature），并對此進行探測及設置響應策略可供選擇的在線/離線兩種類型的升級方式，還可以定制進行自動升級 產品特點內容豐富的報表系統網御IDS對所記錄的日志進行綜合分析，為用戶提供審計分析報告，報告的內容包括以下幾方面：入侵檢測日志報告系統審計日志報告統計報告（表格/圖形）系統設置信息報告 產品特點實時監控網絡流量能以數據包/字節為基準的方式對網絡層/IP服務的流

9、量進行實時 的監測。還能對數據包大小進行統計。除了對流量的監測外，還提供了對這些數據的均值計算，能夠得出到當前為止的平均數據包大小和平均數據處理量。產品特點完善的日志庫管理網御IDS的日志分為入侵檢測日志和系統審計日志。入侵檢測日志記錄的是探測器發現的網絡行為，系統審計日志記錄的是系統本身的操作行為。除了在界面上可以實時看到日志外，系統還提供了日志檢索工具，可以根據用戶的需要，按照特定的條件對日志進行快速的檢索，而不需要在報表系統中查詢。產品特點多種多樣的響應方式網御IDS提供的響應方式分為兩種： 被動響應： 報警（報警信息、聲音報警、彈出窗口） 記錄日志 E-MAIL 與SNMP系統聯動 主

10、動響應： 重置連接 執行自定義程序 與防火墻聯動入侵檢測系統的評判標準漏報率 抓包性能（是否能抓全數據包）、分析方法（是否能對抓取的數據進行完整的分析）、規則庫（是否有對該事件的描述）、響應（是否能對分析完的數據進行及時的響應）誤報率 分析方法（在分析數據的時候，程序是否能正常運作）、規則庫（對事件特征庫的描述是否準備）、響應（對事件的響應方式是否準確）檢測技術模式匹配：與傳統的防病毒系統類似，機械匹配事件規則協議分析：利用協議高度有序性，進行快速檢索異常檢測：構造異常模型，以之為檢測模版會話檢測：將采集的數據加以會話重組后再分析Thank You!Any question? 選擇聯想網御入侵

11、檢測系統的理由之一高效的數據采集技術減少TCP/IP堆棧的處理，網卡捕獲的報文直接放到用戶進程可以訪問的空間，減少由數據拷貝和系統調用的上下文切換而帶來的開銷。選擇聯想網御入侵檢測系統的理由之二安全策略預檢分流數據收集及縮略告警及報告誤用分析異常行為檢測主動響應事件縮略再分析 數據收集及縮略告警及報告被動響應誤用分析異常行為檢測普通引擎LEADER 引擎事件分析過程數據采集單元策略預檢協議流管理器事件合并處理響應單元telnethttpsmtphttpftpnetbiostftptelnethttppop3選擇聯想網御入侵檢測系統的理由之三權威的攻擊特征庫與國家反計算機入侵及病毒防范中心合作，共建、共享攻擊特征事件庫，保證用戶在第一時間獲得更新超過1600余種攻擊檢測特征用戶可以自行定義事件庫符合CVE以及arachNIDS 標準選擇聯想網御入侵檢測系統的理由之四強大的管理功能界面可自定義，操作簡單，方便管理支持主動/被動的接入方式提供