入侵检测系统白皮书-360企业安全.PDFVIP

360 入侵检测系统 白皮书 目录 1. 产品概述 1 1.1 现今网络面临的难题 1 1.2 采用的主流入侵检测技术2 1.3 系统核心引擎运行流程 4 2. 产品特色 5 2.1 强大的分析检测能力 5 2.2 全面的检测范围 5 2.3 超低的误报率和漏报率 5 2.4 更直观的策略管理结构 6 2.5 细致详尽的全方位安全可视化 6 2.6 基于全局理念的安全指导指数 6 3. 技术优势 6 3.1 硬件加速包截获技术 6 3.2 基于状态的协议分析技术7 3.3 应用层协议分析7 3.4 成熟的流检测技术，提升性能和准确性 7 3.5 深度数据分析8 4. 典型应用8 5. 客户价值9 1.产品概述 网络安全是一个系统的概念，制定有效的安全策略或方案，是网络信息安全的首要 目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。入侵检测 技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。因此通过入侵检 测系统（缩写IDS）设备检测网络中是否存在违反安全策略的行为和被攻击的迹象，也 成为被人们普遍使用的网络安全产品。 入侵检测系统可以说是防火墙系统的合理补充和延伸，并且防火墙相当于第一道安 全闸门，而入侵检测系统会在不影响网络部署的前提下，实时、动态地检测来自内部和 外部的各种攻击，同时有效地弥补了防火墙所能无法检测到的攻击，进而与防火墙联动 达到有效网络安全防护。 1.1 现今网络面临的难题 计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏 而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000 亿美元以上。 随着网络技术的发展，入侵的规模越来越大，入侵的手段与技术也不断发展变化， 入侵的发起者和入侵的对象越来越趋于分布化，早期的网络安全产品，例如：防火墙， 它作为网络边界的设备，只能抵挡外部来的入侵行为；自身存在的弱点也可能被攻破； 对某些攻击保护很弱；即使通过防火墙的保护，合法使用者仍会非法地使用系统，甚至 提升自己的权限；进而拒绝非法的连接请求，但是对于入侵者的攻击行为仍是一无所知， 因此入侵就会很容易。这时企事业单位的网络安全性也受到了严峻考验：网络上的不法 分子不断的寻找网络上的漏洞，企图潜入内部网络，一旦网络被攻破，一些机密的资料 可能会被盗、网络可能会被破坏，给网络所属单位带来难以预测的损害。随着网络结构 异常复杂，入侵检测系统体系结构也在随着网络安全需求而进化者，因此应用程序辨识、 异常流量和攻击行为的检测、深层风险交互查询能力、全方位的系统管理均成为了新型 入侵检测系统的标配。 1 1.2 采用的主流入侵检测技术 模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一，模式匹 配技术也称攻击特征检测技术，假定所有入侵行为和手段（及其变种）都能够表达为一 种模式或特征，那么所有已知的入侵方法都可以用匹配的方法来发现，模式发现的关键 是如何表达入侵的模式，把真正的入侵与正常行为区分开来。 模式匹配技术有它自己的好处：比如只需收集相关的数据集合，显著减少系统负担， 同时模式匹配技术经过多年发展已经相当成熟，使得检测准确率和效率都相当高，这也 是模式匹配技术至今仍然存在并被使用的理由。当然，单纯的模式匹配技术也同样具有 明显的不足：  如果对整个网络流量进行匹配，计算量非常大，系统有严重的性能问题。  只能使用固定的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃 避检测。  特征库庞大，对攻击信号的真实含义和实际效果没有理解能力，因此，所有的变形 都将成为攻击特征库里一个不同的特征，这就是模式匹配系统有一个庞大的特征库 的原