《【1、IDS】网神SecIDS 3600入侵检测系统技术白皮书【V201812】_-精品文档整理.docx》由会员分享,可在线阅读,更多相关《【1、IDS】网神SecIDS 3600入侵检测系统技术白皮书【V201812】_-精品文档整理.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部公开网神SecIDS 3600入侵检测系统技术白皮书网神信息技术(北京)股份有限公司网神信息技术(北京)股份有限公司网神信息技术(北京)股份有限公司目 录1 前言12 入侵检测系统应具备哪些功能13 网神SecIDS 3600入侵检测系统23.1 主要功能2网络适用性2基础安全策略2入侵检测技术2三至七层DDoS3一体化引擎3与防火墙联动3流量可视4可视化展示4安全管理43.2 产品特色5先进的多核处理器,大幅提升处理性能5成熟的流检测技术,提升性能和准确性5全面入侵检测技术,监测各种入侵攻击5丰富安全攻击报表,及时知晓网络状况5任意定义流量镜像,方便取证入侵行为64 解决方案65 结束语
2、81 前言随着信息化建设的发展,社会各行各业对网络的依赖性也越来越高。近年来,网络攻击活动愈演愈烈,而网络攻击造成的破坏性因信息化程度的高度集中也越来越大。因此,如何有效的对网络攻击行为、异常行为进行监测防御,是目前信息化安全建设中持续关注的方向。入侵检测系统采用旁路部署方式,对网络实时业务处理不产生任何影响,因此可执行深度计算和分析处理,能有效及时发现网络内的异常行为,是防火墙等边界安全防护设备的有效补充。目前,网络的入侵和攻击呈现如下趋势:1)除具备针对网络层/传输层的基础攻击防护外,越来越注重应用层深度识别。2)网络应用越来越复杂,单纯的依靠端口识别应用以达到攻击检测的目的不再有效。3)
3、网络带宽的快速增长给入侵防护系统的处理能力带来挑战,具备大流量业务并发处理能力尤其重要4)网络安全趋势可视化展示需求越来越突出2 入侵检测系统应具备哪些功能为了应对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等混合威胁及黑客攻击,不仅需要精确检测到各种类型的攻击,更重要的是降低攻击对用户网络的影响,从而保证业务系统的连续性、稳定性和可用性。 一款优秀的网络 入侵检测系统(Intrusion Detection System,简称“IDS”)应该具备以下特征: 1) 满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;2) 提供针对各类攻击的实时检测告警能力,在任何未授权
4、活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失; 3) 准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;4) 提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间监测到攻击并响应; 5) 支持分级部署、集中管理,满足不同规模网络的使用和管理需求;6) 支持用户、连接、日志、安全事件的可视化展示。3 网神Sec 3600 入侵检测系统针对日趋复杂的应用安全威胁和混合型网络攻击,网神Sec 3600 入侵检测系统在原有的产品基础上进行更新优化。产品依赖高效的一体化引擎,实现被防护网络的流量分析,异常或攻击行为的告警,支持2-7层异常、攻击告警,用户行为、网络健康状况的
5、可视化展示。3.1 主要功能网络适用性工作模式:支持旁路工作模式。基础安全策略1) 包过滤检测策略:可实现基于IP地址、服务端口、IP协议、物理端口、DSCP值、IP优先级、TOS值、TTL值、ICMP类型、分片状态、TCP状态、时间等安全策略的状态包过滤。2) 会话数策略:可控制ACL策略的会话数,实现会话数统计功能,粒度到单个IP。3) ALG:可控制FTP、H.323、H.323GK、TNS、PPTP、MMS、RTSP、SIP、XDMCP等ALG,并可自定义。4) 黑白名单策略:可根据黑白名单预定义防护策略。5) IP/MAC绑定:可绑定IP/MAC地址,且可自动探测和唯一性检查。6)
6、本地安全策略:可监测主机或接入接口对本地服务的访问,如PPPoE服务。入侵检测技术1) 入侵检测技术:支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别;支持模式匹配、异常检测、统计分析,以及抗IDS/IDS逃逸等多种检测技术。2) 协议分析:可依据端口识别协议类型,可分析HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多种协议。3) 特征规则:内置攻击特征库,特征数量超过2,000条,并可自定义攻击特征,可阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击4) 事
7、件取证:支持对攻击行为的数据留存和事件追踪。三至七层DDoS1) 抗应用型攻击:包括Web cc、http get flood、DNS query flood等攻击检测。2) 抗流量性攻击:包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、Stream Flood等攻击检测。3) 抗蠕虫连接型攻击:可基于ACL或者源或目地IP地址进行连接数统计和控制,支持连接排行榜,可早期预警。4) 抗普通常见攻击:包括IDSpoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan、null_
8、scan、xmas_scan、ping-of-death、smurf、arp-reverse-query、arp-spoofing攻击检测。5) 特定工具攻击:trinoo工具攻击、tfn工具攻击、tfn2k工具攻击、stacheldraht工具攻击检测。一体化引擎2-7层应用层检测采用一体化引擎技术,使用一体化策略配置可进行2-4层安全策略、应用识别策略、入侵检测策略、关键字过滤检测策略、URL过滤检测策略、AV检测策略等安全策略的一次配置,全模块应用。流量可视1) 流量分析:可显示系统最近10分钟、1小时、24小时的上下行流量趋势、总流量、总流量占比,并支持趋势图和关联用户。2) 应用状态
9、显示:实时图表显示用户连接数、当前会话数、应用使用排名、链路负载使用等信息,实时显示应用流量TOP10,支持最近10分钟、1小时、24小时跨度的应用统计。3) 连接趋势显示:可显示系统最近10分钟、1小时、24小时的并发连接数、新建连接数趋势4) 攻击事件显示:实时显示攻击事件(包括名称/时间/类别/特征/源地址/目的地址)及按照时段(小时/天/周)的分类统计和严重程度统计等信息。5) 流量统计:提供多种统计方式,如显示接口IN/OUT流量图、显示接口流入/流出最活跃的10个内部IP/外部IP、Top10应用分布图等。6) 报表分析:提供多种报表,可依据五元组、应用协议、时间点/时间段等元素自
10、定义报表内容并显示。7) 告警通知:可对接口流量/应用/协议的异常状态进行告警,并以Email/SNMP trap/声音等方式通知管理员。可视化展示1) 安全事件:支持实时显示入侵攻击事件告警,提供多种业务报表;支持入侵事件的区域统计、应用统计、病毒统计和DDOS攻击统计,支持显示系统最近1小时、24小时、1周、1个月的入侵攻击事件趋势。2) 安全地图:支持安全事件的地图展示,支持病毒、入侵攻击事件、木马蠕虫的统计展示,支持按区域的攻击事件统计展示,支持区域的威胁态势分析。安全管理1) 管理方式:支持友好的中文Web图形界面配置,支持Telnet、SSH、串口登陆命令行模式配置。2) 系统监控
11、:包括CPU利用率、内存利用率、接口流量、会话查询、电源指示灯的监控状态显示,支持CPU使用率趋势展示,支持内存使用率趋势展示。3) 网络工具:通过Ping、Traceroute 、ARP测试、TCP测试、HTTP测试手段判断网络和应用的联通性。4) 用户管理权限:支持多级用户管理权限,web管理支持密码、证书认证。3.2 产品特色网神SecIDS 3600产品基于高性能硬件处理架构,为客户提供从2-7层的入侵检测,主要的产品特色有:先进的多核处理器,大幅提升处理性能特征搜索引擎的处理效率决定了IDS处理性能是否优越。IDS系列产品采用当前先进的多核处理芯片,芯片内置高速硬件内容搜索引擎。采用
12、多核CPU与内容搜索引擎之间的报文异步处理技术,大幅提高了系统的特征比对处理性能。成熟的流检测技术,提升性能和准确性IDS系列产品采用的流检测技术综合运用了ACL高效分流技术和Session状态跟踪技术,结合跨包检测、关联分析和“零”缓存等技术,大幅提升了报文检测的准确性和处理性能。从而,一举克服了传统的IDS基于文件检测的实时性差和基于单包检测的准确性差的技术缺陷。全面入侵检测技术,监测各种入侵攻击IDS系列产品提供模式匹配、异常检测、统计分析,以及抗IDS/IDS逃逸等多种检测技术。针对HTTP、FTP、SMTP、IMAP、POP3、Telnet、DNS、RPC、MSSQL、Oracle、
13、NNTP、LDAP、VOIP、TFTP等多种协议和应用, IDS提供攻击检测。IDS系列产品可对正常网络的行为特征进行自学习,从而产生历史数据,一旦有异常出现,则能够立即启动相应的安全策略。丰富安全攻击报表,及时知晓网络状况IDS提供全面的日志记录功能,日志种类丰富。IDS自身的运行健康状况、被监测网络内的业务应用分布、流量分析统计、遭受攻击的范围及趋势都可以通过报表形式进行汇总分析,报表支持PDF、TXT、HTML、CSV、DOCX等格式的导出浏览。系统类日志:支持会话日志、设备管理日志、系统诊断日志、特征库升级日志、用户管理配置日志的记录基础攻击检测类日志:支持ACL 日志、DOS/DDO
14、S攻击日志、黑白名单匹配日志、应用连接日志的记录入侵检测日志:支持特征匹配告警日志、异常行为告警日志、URL/FTP/WEB/MAIL等方式或应用的内容过滤日志、病毒检测日志、挂马防护日志、僵尸网络攻击日志的记录。任意定义流量镜像,方便取证入侵行为IDS依赖高效的一体化引擎进行数据的匹配、分析、响应,针对接收到的流量,支持应用识别、入侵检测、关键字过滤、URL过滤、AV等安全模块的一次性扫描监测,产生的入侵检测可疑事件可以进入事件分析池进行事件确认,也可以进行事件还原二次分析。4 解决方案需求:需要对用户网络数据进行实时分析,即可以对网络IP数据包进行协议解析、内容匹配等特征库匹配的攻击行为告
15、警、内容过滤告警、应用识别告警。可检测出不同的攻击行为,如缓冲区溢出、端口扫描、DDOS、挂网、注入攻击等,同时需要给用户提供直观的网络入侵情况图表统计,能够采取一定的管理措施,如联动等,来保护用户网络的安全。图4-1 IDS与防火墙联动网络拓扑l 网络说明将IDS旁路部署至网络中的核心交换机上,对镜像到IDS设备中的流量进行检测。l 配置思路入侵检测系统主要配置情况:网络配置、产品注册、部署IDS。l 与防火墙联动解决方案IDS和与防火墙进行实时联动,以实现主动、实时防护阻断。配置思路如下: 【IDS设备】启用联动功能 【IDS设备】配置和防火墙联动的认证 【IDS设备】配置需要联动的防火墙
16、IP地址,以此IP为目的地址主动给防火墙发送认证消息和配置消息 【防火墙设备】使用联动功能,等待接收认证消息和配置消息 【防火墙设备】配置和IDS联动的认证5 结束语针对目前网络安全的形势,推出基于自主知识产权的入侵检测系列安全产品,结合多核芯片特点,独创多项高效并行计算方法, 入侵检测应用层检测性能高达20Gbps。同时拥有丰富的、独具特色的安全功能,可靠、稳定,具有较强的竞争力。通过在线部署IDS,能够有效的监测攻击并与防火墙形成联动防御体系。网神信息技术(北京)股份有限公司通信地址:北京市海淀区上地信息产业基地开拓路7号先锋大厦2段1层邮 编:100085电 话:+86(10)62972892传 真:+86(10)62972896客户热线:400-610-8220(724小时)网 址: