冰之眼IDS.pdf

发布时间：2022-05-30 发布人：admin 分类：说明书资料大小：1.14M 资料格式：pdf 举报版权申诉

exploit76-2670408-16359647620129583253.pdf-第1页.png

第1页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第2页.png

第2页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第3页.png

第3页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第4页.png

第4页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第5页.png

第5页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第6页.png

第6页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第7页.png

第7页 / 共17页

exploit76-2670408-16359647620129583253.pdf-第8页.png

第8页 / 共17页

绿盟网络入侵检测系统

一. 前言

二. 为什么需要入侵检测系统

2.1 防火墙的局限

2.2 入侵检测系统的特点

三. 如何评价入侵检测系统

四. 绿盟科技网络入侵检测系统

4.1 体系架构

4.2 主要功能

4.3 产品特点

4.3.1 全面精细的检测技术

4.3.2 可靠的Web威胁检测能力

4.3.3 灵活高效的病毒监测技术

4.3.4 基于对象的虚拟系统

4.3.5 细粒度的流量统计分析

4.3.6 全面的用户上网行为监测

4.3.7 可扩展的安全审计能力

4.3.8 强大的管理能力

4.3.9 完善的报表系统

4.3.10 丰富的响应方式

4.3.11 高可靠的自身安全性

4.4 解决方案

4.4.1 小型网络之精细管理方案

4.4.2 中型网络之集中管理方案

4.4.3 大型网络之分级管理方案

五. 结论

目录一. 前言....................................................................................................................................................... 1 二. 为什么需要入侵检测系统 ................................................................................................................... 1 2.1 防火墙的局限 ................................................................................................................................... 2 2.2 入侵检测系统的特点 ....................................................................................................................... 2 三. 如何评价入侵检测系统 ....................................................................................................................... 3 四. 绿盟科技网络入侵检测系统 ............................................................................................................... 3 4.1 体系架构 ........................................................................................................................................... 3 4.2 主要功能 ........................................................................................................................................... 4 4.3 产品特点 ........................................................................................................................................... 5 4.3.1 全面精细的检测技术 ............................................................................................................... 5 4.3.2 可靠的Web威胁检测能力 ........................................................................................................ 6 4.3.3 灵活高效的病毒监测技术 ....................................................................................................... 6 4.3.4 基于对象的虚拟系统 ............................................................................................................... 6 4.3.5 细粒度的流量统计分析 ........................................................................................................... 7 4.3.6 全面的用户上网行为监测 ....................................................................................................... 7 4.3.7 可扩展的安全审计能力 ........................................................................................................... 8 4.3.8 强大的管理能力 ....................................................................................................................... 8 4.3.9 完善的报表系统 ..................................................................................................................... 10 4.3.10 丰富的响应方式 ................................................................................................................... 10 4.3.11 高可靠的自身安全性 ........................................................................................................... 11 4.4 解决方案 ......................................................................................................................................... 11 4.4.1 小型网络之精细管理方案 ..................................................................................................... 11 4.4.2 中型网络之集中管理方案 ..................................................................................................... 12 4.4.3 大型网络之分级管理方案 ..................................................................................................... 13 五. 结论..................................................................................................................................................... 14 - III -

绿盟网络入侵检测系统产品白皮书一. 前言随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络，并连接到 Internet 上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。现在，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS 攻击越来越常见，网络资源滥用（包括 P2P 下载、IM 即时通讯、网络游戏、在线视频等行为），黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，成为所有网络用户面临的一个重要问题。二. 为什么需要入侵检测系统随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：企业的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；客户抱怨企业的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；员工因为访问恶意站点，将后门、木马等威胁引入企业内网，造成敏感信息外泄，给企业造成巨大的损失，却无法找到问题根源；企业网络拥塞，应用正常业务运转，却无法定位消耗带宽的应用类型；企业网络瘫痪，检查出遭受蠕虫病毒攻击，但不知道如何清除并避免再次遭到攻击；企业网络被入侵了，安全事件调查中缺乏证据。根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。 © 2009 绿盟科技 - 1 - 密级：完全公开

绿盟网络入侵检测系统产品白皮书 2.1 防火墙的局限众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防御。但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生，部署了防火墙的安全保障体系还有进一步完善的需要。传统的防火墙主要有以下的不足：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的注入攻击等。防火墙无法发现内部网络中的攻击行为。 2.2 入侵检测系统的特点入侵检测系统（Intrusion Detection System）是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer 等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。综上所述，防火墙提供静态防御，而入侵检测系统提供动态防御，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防御。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进行检查，入侵检测系统相当于闭路监控系统，监控关键位置如财务、库房等地安全状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警，两者配合使用才能保证安全。 © 2009 绿盟科技 - 2 - 密级：完全公开

绿盟网络入侵检测系统产品白皮书三. 如何评价入侵检测系统入侵检测系统具有实时检测、报警和动态响应等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是入侵检测系统的基本标准。入侵检测系统(IDS）应该从几个方面评价：准确的、广泛的入侵检测能力优异的产品性能强大的管理能力良好的自身安全性丰富的响应功能一个完善的入侵检测系统（IDS）应该具有以下特点：实时报警，报警的准确率高，误报和漏报率低不同性能的产品，能够满足不同网络的需求操作简单，易于部署、管理自身的安全性高，不易遭受攻击四. 绿盟科技网络入侵检测系统针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、 DDoS 等黑客攻击，以及网络资源滥用（P2P 下载、IM 即时通讯、网游、视频等），绿盟科技提供了完善的检测方案。绿盟网络入侵检测系统（以下简称“NSFOCUS NIDS”）是绿盟科技拥有完全自主知识产权的安全产品，它是对防火墙的有效补充，实时检测网络流量，监控各种网络行为，对违反安全策略的流量给予及时报警和阻断，实现从事前警告、事中防护到事后取证的一体化解决方案。 4.1 体系架构 NSFOCUS NIDS 的体系架构主要由安全中心、网络探测器及升级站点三个部分组成，方便各种网络环境的灵活部署和管理。 © 2009 绿盟科技 - 3 - 密级：完全公开

绿盟网络入侵检测系统产品白皮书图 4.1 绿盟网络入侵检测系统体系架构 4.2 主要功能 NSFOCUS NIDS 是网络入侵检测系统同类产品中的经典之作，该产品拥有业界其它产品无以比拟的高性能、高安全性、高可靠性和易操作性等特性，具备全面入侵检测、可靠的 Web 威胁检测、细粒度流量分析，以及全面用户上网行为监测等四大功能，为用户带来了极佳的安全体验。入侵检测 NSFOCUS NIDS 对缓冲区溢出、SQL 注入、暴力猜测、 D.o.S 攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、运行用户自定义命令等方式进行动态防御。 Web 安全基于互联网 Web 站点的挂马检测结果，结合 URL 信誉评价技术，在用户访问被植入木马等恶意代码的网站时，给予实时警告，并录入安全日志。流量分析 NSFOCUS NIDS 能够统计出当前网络中的各种报文流量，协助管理员了解实时的网络流量性质和分布，以便及时做出调整，确保关键业务能够持续运转。 © 2009 绿盟科技 - 4 - 密级：完全公开

绿盟网络入侵检测系统产品白皮书用户上网行为监测 NSFOCUS NIDS 系统对网络流量进行监测，对 P2P 下载、IM 即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。 4.3 产品特点 NSFOCUS NIDS 基于高性能硬件处理平台，为用户提供全面、深入的黑客入侵行为检测，以下将对 NSFOCUS NIDS 的产品功能特色进行逐一介绍。 4.3.1 全面精细的检测技术业界领先的安全漏洞研究能力绿盟科技作为微软的 MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。公司的安全研究部门 NSFocus 小组，已经独立发现了 40 多个 Microsoft、HP、CISCO、 SUN、Juniper 等国际著名厂商的重大安全漏洞，保证了 NSFOCUS NIPS 技术的领先和规则库的及时更新，在受到攻击以前就能够提供前瞻性的保护。高品质攻击特征库覆盖广泛的攻击特征库携带超过 2000 条，由 NSFocus 安全小组精心提炼、经过时间考验的攻击特征，并通过国际最著名的安全漏洞库 CVE 严格的兼容性标准评审，获得最高级别的 CVE 兼容性认证（CVE Compatible）。绿盟科技具有领先的漏洞预警能力，是目前国内唯一向国外（美国）出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新，在紧急情况下可提供即时更新。全面深入的协议分析技术 NSFOCUS NIDS 全面深入的协议分析技术能够分析超过 100 种应用层协议，包括 HTTP、 FTP、SMTP 等，极大地提高检测的准确性，降低误报率。 NSFOCUS NIDS 通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、后门，对于运用了 Smart Tunnel 技术的软件也能准确地捕获分析。 © 2009 绿盟科技 - 5 - 密级：完全公开

分享到：

赞收藏

资料库

冰之眼IDS.pdf

相关推荐

开发技术

热门标签

最新资料