入侵检测IDS-武汉大学图书馆.PPT

网络安全监控与防范 罗爱国 绿盟科技 1、绿盟科技概况 诚信第一、客户至上 专业服务、面向国际 绿盟科技（NSFOCUS） 2000年4月 成立于北京，正式提供NSPS专业安全服务 2000年11月 研发第一款产品－冰之眼入侵检测系统 2001年，第一批安全服务试点企业， 发布第二款安全产品-极光远程安全评估系统 2002年，第一批安全服务一级企业，发布第三款安全产品-黑洞抗拒绝服务系统 2003年，发布第四款安全产品－ESP企业安全计划 2004年，三家安全二级企业之一，通过ISO9001认证 2004年为止，全国共有近180余名员工，大多数为研发和专业服务技术人员 不断发展的公司 总部与分支机构 2000 北京：总部与研发中心 2000 上海、广州：分公司 2002 长沙办事处 2003 沈阳办事处 2004 建立济南、成都、武汉、南京、杭州、深州、西安等办事处 安全产品线的发展 最大的中文安全信息库 绿盟科技首先建立并维护国内最大和最全面的中文网络安全漏洞库，目前已经达到7000多条。 独立的漏洞发现能力 绿盟科技已经独立发现了20余个涉及网络安全的重大漏洞 为Microsoft、CISCO 、SUN、Netscreen等国际著名厂商提供了多个安全漏洞修补建议 公司荣誉 中关村十佳中小高新技术企业 2002/2003电子政务100强 2003 电子政务优秀解决方案奖 2003 信息安全大会优秀安全解决方案（综合类） … 2、高校图书馆网络风险分析 信息安全的CIA not. CIA（Central Intelligence Agency） 机密性 Confidentiality 完整性 Integrity 可用性 Availability 风险分析 风险 威胁：外部因素对系统可能造成的危害 黑客攻击 蠕虫病毒 线路故障 漏洞：系统本身的缺陷或配置不当 系统漏洞（Win RPC、Solaris RPC…） 应用程序（DNS、FTP、Telnet…） 3、绿盟科技安全设计理念 绿盟科技 绿盟科技安全体系框架 组织体系 机构建设 人员管理 管理体系 制度管理 资产管理 风险管理 技术管理 ISO/IEC 17799-信息安全管理标准 ISO/IEC 13335-信息安全管理方面的规范 技术体系 安全矩阵 安全评估 安全防护 入侵检测 应急恢复 如访问控制、网络安全评估系统、入侵检测、防病毒系统等 4、拒绝服务攻击概述 一些拒绝服务攻击案例 有意识的攻击 1999年 yahoo ,ebay ，DDOS出现 2001 Cert被拒绝服务攻击 2001 蜗牛炸弹的影响 2002年cnnic被攻击 2003 全球13台根DNS中有8台被大规模拒绝服务 小规模的攻击行为 无目的的拒绝服务 蠕虫的传播 SQL Slammer DDoS的特点 一些数据 拒绝服务攻击技术的发展 DDoS攻击将越来越多地采用IP欺骗的技术； DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势; DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多; 近年一些新的拒绝服务攻击技术 DRDOS 形成难于追查的ACK Flood 代理连接耗尽 Fatboy 等工具 BotNet网络 通过IRC控制数万台个人主机(Zombi PC)发起 专用抗拒绝服务设备Collapsar介绍 专用ADS设备分类 防火墙和路由器对拒绝服务攻击的抵抗能力是有限的 专用抗拒绝服务设备已经在电信、金融和网上交易站点得到了应用 目前常见的三类产品 Syn gate形式+QoS 特征码过滤+Syn gate Syn Gate＋指纹识别 绿盟科技黑洞产品的基本思想 功能专一，针对性强 以高效率为优先，追求效率和精确性全局最优 将DDoS攻击带来的损失降到最低点 统计分析正常应用情况建立防护模型，辅以其他手段 无需特征库指定匹配特征，防护机制智能化 无需进行类似防火墙的规则匹配 能够针对复杂的网络环境进行灵活的设置 黑洞的功能 防护如下常见的DDoS攻击 SYN Flood ACK Flood ICMP Flood UDP / UDP DNS Query Flood Connection Flood（连接耗尽攻击） 其它功能 防护连接耗尽 抑制蠕虫扩散 同时防护内外网 。。。 产品特色 灵活管理-B/S结构 给管理员更多选择 详细记录攻击行为 自身安全性高 即插即用 灵活的防护方式 使用案例 万网 新网 湖北教育厅 武汉教育局 华泰证券 重庆网通 上海热线 5、入侵检测（IDS）技术 防火墙的局限性 防火墙不能防止