入侵检测系统的部署.ppt

* * * * * * * * * 对于一般中小型企业的网络部署，TopSentry 的监听口可通过端口镜象来同时监控内网和DMZ 区的入侵，起到入侵检测的作用。 * 为了满足用户复杂网络环境中部署多台网络卫士入侵检测设备，来实现对用户整个环境的完全保护，天融信的网络入侵检测设备可以实现多级部署的方式，分布在用户不同网络中的入侵检测引擎可以和总控制台统一实现入侵保护。 *  * *  * *  * * ?威胁呈现可视化 重点事件可视化：该系统采用智能分析技术，对检测到的威胁事件进行分析， 从威胁严重程度、威胁流程程度、攻击者能力等多个方面对事件进行智能分析。针对重点需要关注的事件予以重点报警，通知管理人员尽快处理；对于无威胁事件做记录，供长周期分析，这样大大减少了管理人员人工进行。 处理过程可视化：该系统实现了事件处理向导化，它将事件定位、事件分析、被攻击主机分析实现向导化处理，让运维人员可以非常简单的对事件进行判断。同时提供了辅助处理支持，一方面为运维人员提供详尽的处理过程，另外一方面通过事件自动处理统一对同类事件进行事件处理记录，大大减少了运维工作量。 威胁态势可视化：该系统从威胁影响范围、攻击者威胁指数、环比状况等角度对信息系统的威胁状况进行智能分析，帮助用户认知威胁态势，为进一步的安全建设提供决策支持 * * * ? * ? * * * * * * 方正入侵检测系统 ?方正入侵检测系统 V5.0是方正信息产业控股有限公司研发、生产的一款网络型入侵检测硬件产品。该产品通过专用客户端远程连接管理，使用专用监听口进行数据抓包，并将检测到的入侵事件日志发送到控制台。 * 方正入侵检测系统 ?产品实现关键技术 1.零拷贝技术 * 方正入侵检测系统 ?产品实现关键技术 2.虚拟引擎技术 * 入侵检测系统 方正入侵检测系统 ?产品实现关键技术 3.IP分片重组技术 由于网络环境中MTU的限制，一些IP报文在传输时需要进行分片传输，所以对于这些报文进行进一步分析之前需要进行重组。 为了最大限度地提高IP分片重组效率，采用多线程分散式IP分片重组机制，提高因IP分片重组造成的性能瓶颈。 * 方正入侵检测系统 产品特点 网络入侵检测功能 监控基于TCP/IP协议的各种网络活动和攻击行为 协议解码 日志风暴处理功能 协议过滤和误报处理功能 增强功能 敏感会话监考，文件传输监控，实时网络会话监控，报文回放。 配置和策略管理功能 事件规则的定制，多种响应方式，策略模板定制，日志审计和报表 系统安全功能 远程安全管理，管理日志审计，控制台身份认证和权限分级管理 扩展功能 网络流量统计功能，引擎状态监控，日志管理功能，事件规则库升级 分级管理功能 * 方正入侵检测系统 典型应用拓扑图 * 网络卫士入侵检测系统TopSentry3000/V2 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。该系统部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。 * 网络卫士入侵检测系统TopSentry3000/V2 产品特点 增强的入侵检测技术 蠕虫检测能力 丰富的响应方式 方便、灵活的策略编辑器 灵活的部署方式 多层次、分级管理 * 网络卫士入侵检测系统TopSentry3000/V2 基本的典型应用 * 网络卫士入侵检测系统TopSentry3000/V2 典型应用—多级管理部署方式 * 网神SecIDS 3600入侵检测系统 网神SecIDS 3600入侵检测系统是网神信息技术（北京）股份有限公司研发、生产的网络型入侵检测软硬件结合产品。该系统采用先进的协议分析检测引擎，通过优化机制，能够快速处理网络数据，准确发现各种攻击行为，具有较高的入侵检出率和较低的误报率。产品可广泛应用于政府、企业等各种需要对网络行为进行实时监控的场合。 * 网神SecIDS 3600入侵检测系统 产品实现关键技术 1. 强大的智能应用检测引擎??????? 该系统采用智能应用检测引擎，能够实时监控网络传输，通过对网络上的数据包快速捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对行为和事件的统计分析，能及时发现非法或攻击行为。该系统携带了由网神安全小组精心提炼而成的大量经过仔细检测与时间考验的攻击和应用特征，能够准确识别各种攻击及应用层协议：木马、后门、蠕虫、P2P应用、IM软件、网络在线游戏等。 2. 基于状态的协议分析??????? 该系统的协议分析技术，是对已知协议和RFC规范的深入理解，可准确、高效的识别各种已知攻击。同时根据系统协议分析的算法，Sensor拥有检测协议