SecIDS入侵检测系统(新系列)技术培训答案.pptx

网神SecIDS 3600入侵检测系统（新版） 技术培训 技术服务中心 目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享 目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享 什么是入侵检测系统 旁路部署设备：通过与交换机的镜像口连接，检测网络上或操作系统上可疑行为并记录下来，作出反映（实时告警）通知网络管理员采取相应的解决措施，最大限度的保障网络系统安全。 防火墙的合理补充：一是检测并记录网络上的攻击行为，二是可通过管理员的权限（包括安全审计、攻击识别和配置响应方式等）提高信息安全基础结构的完整性。认为是防火墙的第二道安全闸门。 特点：在不影响网络性能和正常通信的情况下，可对内外部攻击行为等进行实时监测，是安全防御组件的一个重要组成部分。 什么是入侵检测系统 从不知 到有知 技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。 什么是入侵检测系统 意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。 从预警 到保障 IDS与防火墙关系 IDS vs 防火墙 ？ IDS作为网络安全的第二道闸门 是防火墙的有力补充 IDS与防火墙关系 联动响应 IDS检测被放行的数据包，发现攻击行为可以及时告警，并与防火墙联动 传统防火墙 IDS 传统防火墙：合规的请求中加载着攻击行为，防火墙无法识别。 新版IDS介绍 让我们来认识 新版 NGIDS 新版IDS优势 性能提升 功能完善 新版IDS功能优势 功能 现有版本 新版本 特征库数量 2000+ 2500+ IPv6 不全 全面支持 僵尸网络识别 无 有 虚拟通道软件识别 无 有 全局预警 无 有 管理员多鉴别机制 无 有 （OTP一次性密码验证） 操作员ip地址限定 无 有 新版IDS性能优势 性能提升 新版产品性能全面超越现有版本——性价比更高 新版推出最高端万兆IDS——性能不再是瓶颈 新版最高端接口模块化组合——满足灵活定制需求 新版IDS标志 新版标志 全线支持液晶屏 ——设备状态直观呈现 管理IP、设备IP、资源使用率 新版IDS最高端产品 新版 最高端！ 目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享 系统架构 逻辑架构及数据处理流程 MS_01 可靠时间戳 MS_02 特征码更新 IDS_01 协议异常行为分析 IDS_02 特征匹配 IDS_03 攻击响应 MS_03 系统管理 MS_04 日志及报表 MS_05 用户管理 通讯端口示意图 DUC升级 TCP 443/8861 数据库 TCP 3306 引擎与 管理服务器 TCP 7595 UDP 7596 TCP 7594 控制台与 管理服务器 TCP 8088/8863 入侵分析技术 入侵分析技术主要有三大类 协议分析 异常检测 模式匹配 协议分析 概念：IDS引擎采用DPI技术，深入读取IP包载荷的内容来对OSI2-7层协议中的应用层信息进行重组，从而完成协议识别及应用识别。 协议识别种类 端口识别 DFI（深度流检测） DPI（深度包检测） 协议识别方式 端口 流特征 内容（特殊字段） 处理速度 很快 快 较慢 维护成本 极少更新 不频繁 经常更新 准确性 一般 准确 精确 协议分析主流技术分类 异常检测 概念： 异常检测也称为模型检测，需要为用户组建立模型。模型中包含典型用户习惯。模型中为用户定义了行为特征，为每个用户执行正常任务定义了一个基线。 优点： 1.支持对虚假报警的可调控性 2.检测以前未发布的攻击 缺点 1.用户习惯改变时，必须更新用户模型 2.很难把特定的攻击与报警相关联 3.复杂而且难于理解 模式匹配 概念：滥用检测也称为模式匹配 。这种方法探测与具体特征相匹配的入侵行为。这些签名特征基于规则库。 优点： 1.特征是基于已知的入侵行为 2.配置后立即就能探测攻击者 缺点： 1.需要更新特征数据库 2. 未知攻击、变形攻击无法检测 3.计算量大 目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产