网神SecIDS 3600入侵检测系统技术白皮书-09V1.0.docVIP

按需构建 协同部署 网神SecIDS 3600入侵检测系统 Intrusion Detection System Technology Whitepaper ( LS-SP-T-IDS 2.0 ) 网御神州科技（北京）有限公司  文档说明 本文的内容是网神SecIDS 3600入侵检测系统技术白皮书白皮书 目 录 1 产品概述 3 1.1 入侵检测系统工作流程 3 1.2 入侵检测系统的基本架构 4 1.3 主流入侵检测技术 5 1.3.1 模式匹配技术 5 1.3.2 异常检测技术 5 1.3.3 协议分析技术 6 1.4 常见部署方式 7 2 产品架构 9 2.1 系统组件 9 2.2 系统架构 10 2.2.1 管理控制台 11 2.2.2 事件收集器 11 2.2.3 传感器 12 3 技术特点 12 3.1 基于状态的协议分析 12 3.2 自动识别目标操作系统 13 3.3 应用层有限状态机技术 13 3.4 多端口智能关联与分析 13 3.5 高性能硬件平台 13 3.6 独特高效的行为描述语言 14 3.7 基于漏洞检测蠕虫 14 3.8 反IDS逃避 14 3.9 非标准通信协议的鉴别 15 3.10 严密监视P2P、IM等应用 15 3.11 完整的审计记录 15 3.12 详尽全面的自定义功能 16 4 产品部署 18 4.1 中小型网络环境 18 4.2 分布式网络环境 18  产品概述 随着计算机信息技术的日益发展与完善，互联网技术的普及和发展，给人民生活提供了很多的便利，网络成为人们生活中重要组成的部分。然而，网络的快速发展也给黑客提供了更多的危及着计算机网络信息安全的手段和方法，网络信息安全也成为我们关注的焦点。 网神SecIDS 3600入侵检测系统是基于我们对网络安全技术和黑客技术多年研究的基础上开发的网络入侵检测系统。网神SecIDS 3600入侵检测系统是一项创新性的网络威胁和流量分析系统，它综合了网络监控和入侵检测功能。它能够实时监控网络传输，通过对高速网络上的数据包捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对以往的行为和事件的统计分析，自动发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，帮助企业最大限度的保护公司内部的网络安全。入侵检测系统工作流程 通常入侵检测系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为，需要经过下列四个阶段： （1）数据采集 网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。 （2）数据过滤 根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。 （3）攻击检测/分析 根据定义的安全策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击辨别，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。 （4）事件报警/响应 当IDS一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应，通常都包括通知管理员、记录在数据库。 入侵检测系统的基本架构 信息的收集主要由Sensor负责，sensor称为网络传感器，它对网络数据进行监听，因为性能和安全的需求，现在的传感器多采用专用的设备来实现，它的一块网卡通过混杂模式连接在被检测的网段上负责收集网络数据包，另一块网卡用于管理，其它模块负责分析和处理数据包。因此，信息收集需要在网络系统中的若干不同网段关键点进行收集，因为入侵检测很大程度上依赖于收集信息的可靠性和正确性。 信息分析是IDS技术中的核心问题，采用什么样的检测技术直接关系到报警信息的准确性。当然检测技术有很多种，但目前主流的检测方法有三种：模式匹配、异常检测、协议分析。当然结果处理就包含了系统的误报和漏报。 响应控制是针对发现可疑行为后的处理机制，目前常见的响应方式包括：写入数据库、在控制管理平台上显示、发送阻断请求给防火墙、发送给事件分析工具等。主流入侵检测技术 模式匹配技术 模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一，模式匹配技术也称攻击特征检测技术，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法来发现，模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。 模式匹配技术有它自己的好处：比如只需收集相关的数据集合，显著减少系统负担，同时模式匹配技术经过多年发展已经相当成熟，使得检测准确率和效率都相当高，这也是模式匹配技术至今仍然存在并被使用的理由。当然，单纯的模式匹配技术也同样具有明显的不足： 如