【1、IDS】网神 SecIDS 3600 通用解决方案2016-精品文档整理.docx

《【1、IDS】网神 SecIDS 3600 通用解决方案2016-精品文档整理.docx》由会员分享，可在线阅读，更多相关《【1、IDS】网神 SecIDS 3600 通用解决方案2016-精品文档整理.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网神SecIDS 3600入侵检测系统解决方案网神信息技术（北京）股份有限公司2016年1月解决方案网神SecIDS 3600入侵检测系统网神信息技术（北京）股份有限公司第7页l 版权声明Copyright 2006-2016网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。l 文档信息文档名称网神SecIDS 3600入侵检测系统通用解决方案扩散范围销售/售前/客服/渠道商/用户文档版本号作者李广龙日期2016.1初审人复审人目录1信息安全现状及需求分析11.1信息安全现状11.2需求分

2、析11.3对有效的攻击识别和响应的要求21.4XXXX用户面临的问题（根据特定用户需求修改）31.5XXXX用户当前网络环境（根据特定用户需求修改）32网神入侵检测系统解决方案32.1网神入侵检测系统建议部署方案（根据特定用户环境修改）32.2部署网神入侵检测系统的好处53网神入侵检测系统介绍53.1主要功能介绍53.2产品特点63.3产品优势81 信息安全现状及需求分析1.1 信息安全现状随着互联网的发展，网络变得越来越复杂，也越来越难以保证安全。为了共享信息，实现流水线操作，各公司还将他们的网络向商业伙伴、供应商及其它外部人员开放，这些开放式网络比原来的网络更易遭到攻击。此外，他们还将内部

3、网络联结到互联网（Internet），想从Internet的分类服务及广泛的信息中得到收益，以满足重要的商业目的，包括： 让员工访问Internet资源。员工利用Internet中大量的信息和设施提高他们的生产率。 允许外部用户通过Internet访问内部网。企业需要将内部网络信息向外部用户公开，包括客户、提供商和商业伙伴。 将Internet 作为商务基础。Internet最吸引人的一个地方在于与常规商业媒介相比它能使各公司接触到的客户范围更广，数量也更多。 将Internet 作为广域网的基础。Internet为局域网接入提供了经济的手段。虽然联入Internet有众多的好处，但它无疑将内

4、部网络暴露给数以百万计的外部人员，大大地增加了有效维护网络安全的难度。为此，技术提供商提出了多种安全解决方案以帮助各公司的内部网免遭外部攻击，这些措施包括防火墙、操作系统安全机制（例如身份确认和访问权限等级）及加密。但即便采用各种安全解决方案的结合，黑客也总能设法攻破防线，而且网络为了适应不断变化的商业环境：例如重组、兼并、合并等不得不经常改动，这就使有效维护安全措施的这一问题更加复杂。行业背景补充。1.2 需求分析现在许多用户已经意识到这一点，使用了许多安全设施保护内部网络使其免遭外部攻击。实际上，由心怀不满的雇员或合作伙伴发起的内部攻击占网络入侵的很大一部分。据统计，所有的计算机犯罪的80

5、%是来源于内部威胁。因此，需要一种独立于常规安全机制的安全解决方案一种能够破获并中途拦截那些能够攻破网络第一道防线的攻击。这种解决方案就是“入侵检测系统”利用“入侵检测系统”连续监视网络通讯情况，寻找已知的攻击模式，当它检测到一个未授权活动时，软件会以预定方式自动进行响应，报告攻击、记录该事件或是断开未授权连接。“入侵检测系统”能够与其他安全机制协同工作，提供真正有效的安全保障。1.3 对有效的攻击识别和响应的要求要将网络安全保护的滴水不漏是不太可能的，即使是按照我们制定的安全策略来保护我们的网络也是一项非常艰巨的任务。即使是被保护的很好的网络也需要不断的更新以修补新出现的漏洞。保护我们的网络

6、是一项持久的任务，它包括保护、监视、测试，以及不断的改进。“入侵检测系统”必须满足许多要求，以提供有效的安全保障，主要的具有以下要求：实时操作。攻击识别和响应软件必须能够实时的检测、报告可疑攻击并做出实时反应。那些仅能在事后记录事件、提供校验登记的软件效率是不高的。这种事后检查的软件就像是在盗贼们扬长而去之后才报警的防盗警铃，此外，许多攻击者在攻入时就擦掉了记录。所以仅是扫描事件记录是检查不到攻击的。可以升级。正如有新的计算机病毒不断涌现一样，黑客们总能找到新的方法侵入计算机系统，所以攻击识别和响应软件必须能够将已知的入侵模式和未授权活动不断增加到知识库中。可运行在常用的网络操作系统上。软件必

7、须支持现有的网络结构，这就是说它必须支持现有的网络操作系统，如Windows XP 、Windows 7 、Windows Server 2003/2008/2012。易于配置。在无需牺牲效率的条件下，易于配置。攻击识别和响应软件应提供默认配置，管理员可以迅速安装并随着信息的积累对其不断优化。此外，软件还应提供样本配置，指导管理员安装系统。易于改变安全策略。现在的商业环境是动态的，公司由于许多因素而不断变化，包括重组、合并和兼并。所以安全策略也随之改变，为了保证有效性，攻击识别和响应软件应易于适应改变了的安全策略，这保证了安全策略在实际运行当中和理论上一样有效。不易察觉。该软件应该以不易被察觉

8、的方式运行。也就是说，它不会降低网络性能。它对被授权用户是透明的，所以它不会影响生产率。此外，它不会引起入侵者的注意。1.4 XXXX用户面临的问题（根据特定用户需求修改）1、用户实际遇到的网络问题（比如政策建设要求，出现过安全事件等？）1.5 XXXX用户当前网络环境（根据特定用户需求修改）1、用户网络拓扑图2 网神入侵检测系统解决方案2.1 网神入侵检测系统建议部署方案（根据特定用户环境修改）SecIDS 3600 引入了两种类型的安装方式：单机部署和分布部署。单机部署单机部署方式，即把管理控制台安装在一台功能较强大的计算机上。虽然集中式部署的计算能力可能不如分布式部署，但这种部署方式有利

9、于管理，对于一般的中小企业很适用。这种模式适合于负载不是很重，设备较少的网络环境。下图1显示的是最具代表性的单机部署网络拓扑结构。经过安全需求分析，用户一般比较关注的是服务器区和Internet出口这两个部分，那么可以在这两个部署一套独立的入侵检测系统就能够实现。用户如果需要增加监控区域只需要选择多端口的高端入侵检测设备即可满足需求。图1 单机部署网络拓扑图2.2 部署网神入侵检测系统的好处网神IDS 通过高效的模式匹配、异常检测、协议分析等技术手段，对用户网络链路的实时监控，期间发现大量的Dos/DDos、web攻击等异常行为攻击特征，设备能及时向管理员发出警告信息，根据用户实际环境监测统计

10、分析，为管理员提供及时准确的网络行为分析数据，帮助有针对性的对网络采取一些规避补救措施，保障了用户网络的安全及可靠性。3 网神入侵检测系统介绍网神SecIDS 3600入侵检测系统是基于我们对网络安全技术和黑客技术多年研究的基础上开发的网络入侵检测系统。网神SecIDS 3600入侵检测系统是一项创新性的网络威胁和流量分析系统，它综合了网络监控和入侵检测功能。它能够实时监控网络传输，通过对高速网络上的数据包捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对以往的行为和事件的统计分析，自动发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，帮助企业最大限度的保护公司内部的

11、网络安全。3.1 主要功能介绍n 部署和管理功能 提供中文化的管理界面； 提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户根据实际情况定制适合企业自身环境的安全策略； 支持安全事件数据库容量预警及异常处理功能，以防止因存储空间的不足导致的数据丢失。n 检测与报警能力 提供对多种应用的检测能力，间谍木马、恶意软件、蠕虫病毒及DDOS等的多种攻击威胁； 提供在线和本地的升级方式，平均升级周期不大于1周； 产品提供多种抗逃避技术：具备IP碎片重组与TCP流重组功能、具备抗HTTP变形逃避功能、具备TTL抗逃避功能等； 报警信息提供关于攻击的详细内容:IP地址、端口、时间和类型等常规信息

12、； 支持邮件、Syslog等多种高级报警方式； 提供对802.1Q封装数据包的解析及检测能力。n 报表与日志审计 入侵检测系统相关日志的导出； 支持统计和查询报告导出；n 自身安全指标 支持设备的带外管理，监听端口支持隐秘模式，无需IP地址和网络配置； 支持Console配置界面管理； 支持用户分角色管理。3.2 产品特点n 配置简单、使用方便网神SecIDS入侵检测系统，平台经过专门优化及加固，使用更加安全、方便。用户经过简单配置接电即可使用。n 检测基于网络的攻击SecIDS 3600网络传感器检查所有包的头部从而发现恶意的和可疑的行动迹象。例如，许多来自于IP地址的拒绝服务型（DOS）和

13、碎片包型（Teardrop）的攻击只能在它们经过网络时，检查包的头部才能发现。这种类型的攻击都可以在SecIDS 3600中通过实时监测网络数据包流而被发现。SecIDS 3600网络传感器可以检查有效负载的内容，查找用于特定攻击的指令或语法。例如，通过检查数据包有效负载可以查到黑客软件，而使正在寻找系统漏洞的攻击者毫无察觉。n 实时检测和响应SecIDS 3600可以在恶意及可疑的攻击发生的同时将其检测出来，并做出更快的通知和响应。实时通知时可根据预定义的参数做出快速反应，这些反应包括收集信息、计入数据库、将告警事件发往安全运行中心等。n 对网络几乎没有影响SecIDS 3600完全不会造成

14、网络的时延。SecIDS 3600网络传感器仅仅对网络数据流进行监控，拷贝需要的包，完全不会对包的传输造成延迟。唯一可能造成延迟的情况，就是网络传感器发出中断连接的数据包，当然受到影响的只有攻击者。SecIDS 3600增加的网络流量也微不足道。增加的网络流量取决于分布式配置的情况，主要因素取决于网络传感器向控制台传输数据的数量和频繁程度。n 攻击者不易转移证据SecIDS 3600使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕捉的数据不仅包括攻击的方法，而且还包括攻击的源地址和目的地址。许多黑客都熟知审计记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，但他们很难抹去

15、被入侵检测系统实时纪录下来的数据。3.3 产品优势n 强大的分析检测能力：采用了先进的入侵检测技术体系，基于状态的应用层协议分析技术，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。n 基于状态的协议分析：基于已知协议和RFC规范的深入理解，网神SecIDS 3600入侵检测系统具有强大的检测协议异常、协议误用的能力，解决了以往基于单纯模式匹配技术的IDS产品片面依赖攻击特征签名数量来检测攻击的弊端，提高了检测准确性和效率，网神SecIDS 3600入侵检测系统目前支持Telnet、FTP、HTTP、SMTP、DNS等数十种的主流应用层协议。n 超低

16、的误报率和漏报率：采用TCP/IP数据重组技术、应用程序识别技术、完整的应用层状态追踪技术、应用层协议分析技术及多项反IDS逃避技术，支持在复杂的网络环境中部署，提供业界超低的误报率和漏报率。n 丰富的事件响应方式：针对不同类型数据包流量传递的过程，入侵检测系统可在发现攻击的当下通过已定义好的检测行为动作加以检测，系统提供以下几种动作：1、事件记录；2、通过邮件警告；3、syslog报警等。n 更直观的策略管理结构：网神SecIDS 3600入侵检测系统采用了全新的策略管理结构，结合新的策略分类、策略派发、策略响应管理等功能，用户可以方便快捷的建立适用不同环境的攻击检测策略。n 灵活的签名分类：基于网络应用、风险级别和攻击类型等分类原则，用户可以更准确快捷地查找到所关注的签名类别。