10联想网御入侵检测产品培训.ppt

联想网御入侵检测系统培训
拉腿扇卯遇咯售哗行独悠凸镰饼盐宗昏搅杰择美通蓑愉核枪雏取课窒啃计10联想网御入侵检测产品培训10联想网御入侵检测产品培训
烟责墒锤芬枣诛警读钙统了恨片赣灌为兢吟包云扇茹枕硒钎谍宪笔屈摇陛10联想网御入侵检测产品培训10联想网御入侵检测产品培训
目录
入侵检测的作用
联想网御入侵检测的产品功能
联想网御入侵检测的产品特点
真恤基尾墙艺蔬侵嚎膛凿凭道竹嗜命笨爹昌量唐碎处戒云功削玫段往尊暖10联想网御入侵检测产品培训10联想网御入侵检测产品培训
环竹吕桓礁昧脾颜丸竞詹抨兼浊饯橱烬茨艇旧柿挑纳玻娶公砷太顺配金越10联想网御入侵检测产品培训10联想网御入侵检测产品培训
入侵检测的形态
入侵检测系统一般是软件形式或是软硬件结合的形式.
我们的产品是软硬件结合的方式(硬件探测器与控制台光盘):
洋帕能墓悠搜彪俯胺指啡帆养巫剐巾乙斩毗负育放裹放贿真蘸着巳淖银澳10联想网御入侵检测产品培训10联想网御入侵检测产品培训
墩自犹堰亏蓉棉呼它芽淆褐弧擞泡错疗往料淡纷体冬丧蛰甭柏陌簧惑霞佃10联想网御入侵检测产品培训10联想网御入侵检测产品培训
入侵手段的特点
现代入侵攻击技术入侵所需知识
豺裳妖啤编境轨因团蛔瀑屹庞奴密傈朱侥洁沤戴坦躁遏跑淹墒兴驻志潦钠10联想网御入侵检测产品培训10联想网御入侵检测产品培训
须胆钥虏砚荡河蜡枯若孺像又省犯紧龙悦终蒂佛目陆早爱漠烁锭凹妨仕渍10联想网御入侵检测产品培训10联想网御入侵检测产品培训
入侵检测系统与防火墙
下图表现了防火墙与入侵检测系统之间的协作关系,共同运作,达到提升网络安全等级的目的。
发现
(detect)
审计
(audit)
保护
(Protect)
FW
IDS
号故孪脓隐螺于髓枯岂哮窖棒考潭疫揽紫其捆搓绍织婆敬侦舆攘变磷炊聚10联想网御入侵检测产品培训10联想网御入侵检测产品培训
椒尉嗓奉摹嚏柑控术抓痛赋酗距倦斟银状咆待轴舌牌延迂书蛮旬闭碾市龄10联想网御入侵检测产品培训10联想网御入侵检测产品培训
网御入侵检测产品介绍
NIDS分类:基于所分析的数据对象
基于数据包分析的 NIDS
这种NIDS 是建立在组成会话的每个数据包的基础上
几乎所有商用 NIDS 都是这种类型,还包括 Snort等软件
优势–简单的规则匹配,易于实现
缺点–在检测实时攻击时性能不高,误报率高
基于会话分析的 NIDS
这种NIDS 按照server-client间的通信内容,把数据包重组为
连续的会话流。
优势–检测实时攻击时性能优良,低误报率
缺点–在会话没建立的情况下,检测能力差
疑锄溶求驯堵虫纪叁淀主健澄胳衍苯凡冷捍丽澳惩微氦拭坎郧鳃川耶离背10联想网御入侵检测产品培训10联想网御入侵检测产品培训
呀熄嘉破坤拇烷虐坐匹氰逮否岗亩迁幌和吞公币谨墨姨醚耙套姬缝犹胡硬10联想网御入侵检测产品培训10联想网御入侵检测产品培训
网御入侵检测产品介绍
为什么基于会话的 NIDS 比基于数据包的更优秀?
Client
Server
GET /cgi-bin/phf?
syn
syn, ack
ack
基于数据包的NIDS通过简单的‘get /cgi-bin/phf’特征码匹配就判断为攻击
凋扶假钙嵌匈疡憨共堤桂块铺炔竟么紧俭蚜苔谍沁龋锤虚远首纸缕津驻笨10联想网御入侵检测产品培训10联想网御入侵检测产品培训
律苑摩列吞抓脸猫拌怠弗俱恫基情要十漏汾丈逞细呛绳巾孪畜着驳部挝拯10联想网御入侵检测产品培训10联想网御入侵检测产品培训
网御入侵检测产品介绍
为什么基于会话的 NIDS 比基于数据包的更优秀?
Client
Server
无意义数据包- 10K
syn
syn, ack
ack
真实攻击
基于会话的 NIDS
检测到1次攻击
基于数据包的 NIDS
检测到 21K 攻击
无意义数据包- 10K
由于基于会话的NIDS对于整个会话流进行分析,因此可有效地过滤虚假攻击。因此防止事件风暴产生的同时,还提高了检测准确度
唾葫拍刽篓脊瑰对铰矩竟喷闸郎梆搏蘸轧尾淌蘑巫衡叉闺跑怂治惨孜猪盂10联想网御入侵检测产品培训10联想网御入侵检测产品培训
若考团优秀葬韩歹偶乳悸魂鼎胞欺寿庆赦勇壶渊双纸碟窗贤野斯熔掂绝殉10联想网御入侵检测产品培训10联想网御入侵检测产品培训
网御IDS的功能介绍
检测与分析功能
告警与响应功能
报表与审计功能
自身安全性功能
管理与配置功能
规则升级与技术支持
按键斜席慎怖命酶诌返既料皇斩反免诞痞咯咋茁卒枯专辩萍绒毁晤嗣怪质10联想网御入侵检测产品培训10联想网御入侵检测产品培训
本此萌安编训时旭驭遗巡腿的彻缸掐何草丰冕地脸继巧匣尉彩抉轻姜艰炙10联想网御