SecIDS入侵检测系统(新系列)技术培训课件.pptx

1、网神SecIDS 3600入侵检测系统（新版）技术培训技术服务中心目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享什么是入侵检测系统旁路部署设备：通过与交换机的镜像口连接，检测网络上或操作系统上可疑行为并记录下来，作出反映（实时告警）通知网络管

2、理员采取相应的解决措施，最大限度的保障网络系统安全。防火墙的合理补充：一是检测并记录网络上的攻击行为，二是可通过管理员的权限（包括安全审计、攻击识别和配置响应方式等）提高信息安全基础结构的完整性。认为是防火墙的第二道安全闸门。特点：在不影响网络性能和正常通信的情况下，可对内外部攻击行为等进行实时监测，是安全防御组件的一个重要组成部分。什么是入侵检测系统技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。什么是入侵检测系统意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。IDS与防火墙关系IDS vs 防火墙？IDS作

3、为网络安全的第二道闸门是防火墙的有力补充IDS与防火墙关系 联动响应 IDS检测被放行的数据包，发现攻击行为可以及时告警，并与防火墙联动传统防火墙IDS 传统防火墙：合规的请求中加载着攻击行为，防火墙无法识别。新版IDS介绍让我们来认识新版 NGIDS 新版IDS优势性能提升功能完善新版IDS功能优势功能现有版本新版本特征库数量2000+2500+IPv6不全全面支持僵尸网络识别无有虚拟通道软件识别无有全局预警无有管理员多鉴别机制无有（OTP一次性密码验证）操作员ip地址限定无有新版IDS性能优势性能提升新版产品性能全面超越现有版本性价比更高新版推出最高端万兆IDS性能不再是瓶颈新版最高端接口

4、模块化组合满足灵活定制需求新版IDS标志新版标志 全线支持液晶屏设备状态直观呈现管理IP、设备IP、资源使用率新版IDS最高端产品新版 最高端！目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享系统架构Microsoft Windows 操作系统平台数据库系统 Java Run-Time Environment(JRE)控制台Plug-in逻辑架构及数据处理流程MS_01 可靠时间戳MS_02 特征码更新IDS_01 协议异常行为分析IDS_0

5、2 特征匹配IDS_03 攻击响应MS_03 系统管理MS_04 日志及报表MS_05 用户管理通讯端口示意图DUC升级TCP 443/8861数据库TCP 3306引擎与管理服务器TCP 7595UDP 7596TCP 7594控制台与管理服务器TCP 8088/8863入侵分析技术 入侵分析技术主要有三大类协议分析异常检测模式匹配协议分析 概念：IDS引擎采用DPI技术，深入读取IP包载荷的内容来对OSI2-7层协议中的应用层信息进行重组，从而完成协议识别及应用识别。协议识别种类端口识别DFI（深度流检测）DPI（深度包检测）协议识别方式端口流特征内容（特殊字段）处理速度很快快较慢维护成本

6、极少更新不频繁经常更新准确性一般准确精确协议分析主流技术分类异常检测 概念：异常检测也称为模型检测，需要为用户组建立模型。模型中包含典型用户习惯。模型中为用户定义了行为特征，为每个用户执行正常任务定义了一个基线。优点：1.支持对虚假报警的可调控性 2.检测以前未发布的攻击 缺点 1.用户习惯改变时，必须更新用户模型 2.很难把特定的攻击与报警相关联 3.复杂而且难于理解模式匹配 概念：滥用检测也称为模式匹配。这种方法探测与具体特征相匹配的入侵行为。这些签名特征基于规则库。优点：1.特征是基于已知的入侵行为 2.配置后立即就能探测攻击者 缺点：1.需要更新特征数据库 2.未知攻击、变形攻击无法检

7、测 3.计算量大目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享主要功能简介攻击检测2500条检测特征库入侵逃逸检测异常流量检测流量协议分析事件响应事件实时显示事件过滤、归并事件断网续传事件备份恢复多种报警响应多种统计报表策略配置内置典型模板缺省策略恢复特征库在线、离线升级基于接口的策略配置系统管理拓扑管理组件引擎状态监控双因素登录认证液晶屏显示时间同步特色1：全面的攻击检测 模式匹配 协议分析 异常行为识别识别检测检测 SQL注入 Dos/

8、DDos 僵尸网络 端口扫描 蠕虫木马 缓冲区溢出 Web攻击 Android攻击 违规应用 RBL特色2：灵活的告警策略丰富的告警方式提示威胁发生根据时间制定不同的响应策略与防火墙联动 阻断高危攻击支持标准接口告警事件外报工作时间下班时间工作时间8:00-17:00特色3：适用常见网络环境支持MPLS、VLAN网络环境部署具备双协议栈(dual stack)架构，能同时识别IPv4和IPv6通讯流量。实现对IPv6网络、IPv4网络以及IPv6/v4混合网络环境中的攻击检测IPv6/v4 双栈协议网络（以太网）IPv4协议栈IPv6协议栈TCP/UDP应用网络环境支持时间对象：日/月/周统计

9、对象：来源/目的/名称排名对象：Top 5-10特色4：丰富的报表展现Top 10攻击来源Top 10攻击目的Top 10 攻击来源至目的Top 10 攻击名称 严重程度趋势图攻击种类趋势图服务统计图严重程度统计图攻击种类统计图内容：内置7种样板，支持自定义报表样板输出格式：支持HTML、PDF、CSV、Word计划任务：支持周期或一次生成报表保存方式：支持email、FTP、本地保存统计报表交叉报表自动报表产品全景图D1500-T302PD1500-T602PD5000-TA02P/D5000-TA02MD5000-TA22P/D5000-TA22MD10000-TB22M入门级 中小型企业

10、级 中型企业级 大型企业级 千兆百兆万兆产品规格型号产品型号D1500-T302PD1500-T602PD5000-TA02PD5000-TA02MD5000-TA22PD5000-TA22MD10000-TB22M硬件指标接口配置6电2光6电6电2光6电2光6电4光6电4光2电4扩展液晶配置支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏物理特性机型型态1U1U2U2U2U2U2U电源配置单电源单电源单电源冗余电源单电源冗余电源冗余电源监控流量300M600M1200M1200M2000M2000M4000M扩展模块N/ADM-2X DM-8TDM-8S技术1：领先的检

11、测技术数据包重组数据包重组协议分析协议分析签名特征匹配签名特征匹配应用层协议分析 基于状态的应用层协议分析 应用层协议预处理 低层协议分析 流的重组序列号 重新排序 碎片整理 技术2：协议异常行为分析主要针对2层-4层的分析、检测技术3：特征匹配主要针对特征签名的匹配目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享安装软件 安装环境:Windows XP/7 server 2003/2008/2012 支持Windows 32位和64位系统

12、Java&JME：JRE6U45&JME MySQL：5.1.54（32位或64位）控制台：入侵检测管理控制台 安装JAVA安装JME安装JME安装MySQL配置MySQL安装控制台前注意事项 安装过程中提示缺少MSVCR文件时，需做以下操作：32位系统 将MSVCR71.dll拷贝至 C:WindowsSystem32 64位系统 将MSVCR71.dll拷贝至 C:windowsSysWoW64 注意：如果不做该操作会导致控制台安装完成后服务不能启动安装控制台Console配置服务启动随Windows服务自动启动点击桌面的服务手动启动登录网址http:/管理服务器IP:8088/SecID

13、S3600/控制台登录账号管理员配置审计管理员配置操作管理员配置操作管理员配置目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享典型案例金税三期项目国家税务总局为国务院主管税收工作的直属机构（正部级）。关注重点：各种威胁检测快速安全预警全网部署多级管理对新型攻击的快速响应可靠性 2012年网神中标金税三期十九省市近400台入侵检测产品，并于同年陆续实施建设完成，2013年至今多省地税对网神入侵检测产品进行了续采。典型案例金税三期项目防护总体结构

14、在数据中心（北京）和数据中心（南海）的骨干核心交换区上分别部署2台高性能千兆入侵检测引擎在各省局核心交换区上分别部署2台千兆入侵检测引擎在各地（市）局核心交换区上分别部署1台高性能千兆入侵检测引擎，采用双路监听典型案例金税三期项目在2台核心交换机上分别部署1台千兆入侵检测引擎，通过入侵检测系统对数据中心网络的核心数据进行检测部署网神安全管理系统入侵检测引擎安全管理区部署网神安全管理系统，通过该系统，对总局和各省局网神入侵检测系统的集中管控南海部署结构典型案例金税三期项目省国税局部署结构在各省国税局数据中心核心交换机上分别部署1台千兆入侵检测引擎，通过入侵检测系统对数据中心网络的核心数据进行检测

15、在各省国税局安全管理区部署网神安全管理系统，实现对各省局及下辖各地（市）局网神入侵检测系统的集中管控 部署网神安全管理系统入侵检测引擎典型案例金税三期项目地市级部署结构部署网神安全管理系统入侵检测引擎在各地（市）国税局安全管理区部署网神安全管理系统，实现对各地（市）局网神入侵检测系统的集中管控。在各地（市）局核心交换区部署1台千兆入侵检测引擎，监听2台核心交换机的流量，通过入侵检测系统对通信流量检测典型案例金税三期项目在国税总局数据中心（北京、南海）节点部署网神安全管理系统，负责管理总局和各省级局的入侵检测系统；各省级国税局的安全管理系统，负责管理本省局和与之相连的各地（市）级局的入侵检测系统

16、；各地（市）级国税局的安全管理系统，负责管理本地（市）局的入侵检测系统。多级管理结构目录 网神IDS产品简介 网神IDS产品架构、技术原理 网神IDS产品功能、性能及关键技术详解 网神IDS产品配置及上线实施指南 网神IDS产品典型应用案例技术剖析 网神IDS产品技术支持与维护经验分享维护经验分享1.快速处理问题方法2.导入离线特征库升级包3.备份IDS控制台策略配置文件4.IDS的http端口修改维护经验分享5.实时事件及流量没有显示出来6.查询报表没有显示处理方法7.在win2003、2008系统中控制台注意事项8.如何区分新旧版本IDS9.关闭Java自动更新功能1.快速处理问题方法 当

17、IDS出现异常问题时，可以清理JAVA缓存和删除httproot文件来尝试解决这些问题1.清理java缓存2.删除httproot文件夹1.1查看JAVA版本1.1清理JAVA缓存1.2删除httproot文件夹 步骤1：打开IDS控制台的安装目录 步骤2：选择httproot文件夹 步骤3：删除httproot文件夹2.导入离线特征库升级包当IDS的控制台不能连接互联网，需要通过控制台给IDS做离线升级 操作方法：使用操作管理员登录，在IDS控制台找到【检测策略】-【汇入策略】-选择升级离线升级包文件-点击【打开】即可 注意：IDS离线升级包可以使用最新版本，升级完成后，需要与设备同步，否则

18、最新的特征库不能下发到IDS设备2.导入离线特征库升级包3.备份策略配置文件备份IDS策略与备份防火墙的配置是同样重要的，如果用户安装IDS控制台的主机损坏或更换，可通过策略恢复还原之前备份的策略操作方法：在IDS控制台找到【检测策略】-【汇出策略】-选择保存路径-填写文件名称-点击【保存】3.备份策略配置文件4.IDS的http端口修改IDS默认的http访问端口为8088当IDS端口与其他业务冲突时，在以下文件中修改C:Program Files(x86)SecIDS3600conf将修改此端口号 sys.http_server_port=80885.控制台实时事件无法显示 问题分析：导致

19、该问题的可能原因只有2个 1.检查安装IDS控制台的PC或者服务器自身的防火墙是否是关闭状态 2.检查IDS设备与IDS控制台之间是否有防火墙或者交换机，这些设备是否阻断了TCP 7594-7596、UDP 7594-7596端口6.控制台查询报表没有显示 问题分析：导致该问题的可能原因只有 3个1.检查安装 IDS 控制台的 PC 或者服务器自身的防火墙是否关闭状态2.检查IDS设备与IDS控制台之间是否有防火墙或者交换机，这些设备是否阻断了TCP 7594-7596、UDP 7594-7596端口3.如果以上 2条都排除，可能是 MySQL 或者JAVA的配置不正确，请重新安装、配置MyS

20、QL及JAVA7.控制台在Win2008/12注意事项1.新版本的IDS控制台 V4.0(D20)可以安装到Windows2008/2012 2.在Windows2008/2012安装IDS控制台完成以后，请在系统服务里找到SecIDS的服务，将该服务停止，选择手动启动3.在桌面找到“启动SecIDS 服务器”的快捷方式图标，右键选择“以管理员身份运行”即可8.如何区分新旧版本IDS新老版本的IDS可以从以下3个方面确认设备外观访问方式控制台版本新版本带液晶屏Web访问V4.0（D20）旧版本不带液晶屏非Web访问V4.0.X.X9.关闭Java自动更新功能Java默认安装版本为6U45安装Java后需要手动关闭Java的自动更新功能其他版本的Java将可能导致管理控制台功能无法使用