SecIDS入侵检测系统(新系列)技术培训ppt课件.pptx

网神SecIDS 3600入侵检测系统（新版）,技术培训,技术服务中心,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,什么是入侵检测系统,旁路部署设备：通过与交换机的镜像口连接，检测网络上或操作系统上可疑行为并记录下来，作出反映（实时告警）通知网络管理员采取相应的解决措施，最大限度的保障网络系统安全。防火墙的合理补充：一是检测并记录网络上的攻击行为，二是可通过管理员的权限（包括安全审计、攻击识别和配置响应方式等）提高信息安全基础结构的完整性。认为是防火墙的第二道安全闸门。特点：在不影响网络性能和正常通信的情况下，可对内外部攻击行为等进行实时监测，是安全防御组件的一个重要组成部分。,什么是入侵检测系统,从不知到有知,技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。,什么是入侵检测系统,意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。,从预警到保障,IDS与防火墙关系,IDS vs 防火墙 ？,IDS作为网络安全的第二道闸门是防火墙的有力补充,IDS与防火墙关系,联动响应,IDS检测被放行的数据包，发现攻击行为可以及时告警，并与防火墙联动,传统防火墙,IDS,传统防火墙：合规的请求中加载着攻击行为，防火墙无法识别。,新版IDS介绍,让我们来认识,新版 NGIDS,新版IDS优势,性能提升,功能完善,新版IDS功能优势,新版IDS性能优势,新版IDS标志,新版标志 全线支持液晶屏,设备状态直观呈现,管理IP、设备IP、资源使用率,新版IDS最高端产品,新版 最高端！,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,系统架构,逻辑架构及数据处理流程,MS_01 可靠时间戳,MS_02 特征码更新,IDS_01 协议异常行为分析,IDS_02 特征匹配,IDS_03 攻击响应,MS_03 系统管理,MS_04 日志及报表,MS_05 用户管理,通讯端口示意图,入侵分析技术,入侵分析技术主要有三大类协议分析异常检测模式匹配,协议分析,概念：IDS引擎采用DPI技术，深入读取IP包载荷的内容来对OSI2-7层协议中的应用层信息进行重组，从而完成协议识别及应用识别。,协议分析主流技术分类,异常检测,概念： 异常检测也称为模型检测，需要为用户组建立模型。模型中包含典型用户习惯。模型中为用户定义了行为特征，为每个用户执行正常任务定义了一个基线。优点： 1.支持对虚假报警的可调控性 2.检测以前未发布的攻击缺点 1.用户习惯改变时，必须更新用户模型 2.很难把特定的攻击与报警相关联 3.复杂而且难于理解,模式匹配,概念：滥用检测也称为模式匹配 。这种方法探测与具体特征相匹配的入侵行为。这些签名特征基于规则库。优点： 1.特征是基于已知的入侵行为 2.配置后立即就能探测攻击者缺点： 1.需要更新特征数据库 2. 未知攻击、变形攻击无法检测 3.计算量大,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,主要功能简介,特色1：全面的攻击检测,识别,检测,特色2：灵活的告警策略,丰富的告警方式提示威胁发生根据时间制定不同的响应策略与防火墙联动 阻断高危攻击支持标准接口告警事件外报,特色3：适用常见网络环境,支持MPLS、VLAN网络环境部署具备双协议栈(dual stack)架构，能同时识别IPv4和IPv6通讯流量。实现对IPv6网络、IPv4网络以及IPv6/v4混合网络环境中的攻击检测,网络环境支持,时间对象：日/月/周统计对象：来源/目的/名称排名对象：Top 5 - 10,特色4：丰富的报表展现,内容：内置7种样板，支持自定义报表样板输出格式：支持HTML、PDF、CSV、Word计划任务：支持周期或一次生成报表保存方式：支持email、FTP、本地保存,事后审计 是IDS的核心之一帮助管理员掌握整体威胁状况，找出攻击源头，及时采取措施,产品全景图,入门级,中小型企业级,中型企业级,大型企业级,千兆,百兆,万兆,产品规格型号,技术1：领先的检测技术,数据包重组,协议分析,签名特征匹配,技术2：协议异常行为分析,主要针对2层-4层的分析、检测,技术3：特征匹配,主要针对特征签名的匹配,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,安装软件,安装环境 :Windows XP/7 server 2003/2008/2012支持Windows 32位和64位系统Java&JME： JRE6U45 & JMEMySQL：5.1.54 （32位或64位）控制台：入侵检测管理控制台,安装JAVA,安装JME,安装JME,安装MySQL,配置MySQL,安装控制台前注意事项,安装过程中提示缺少MSVCR文件时， 需做以下操作：32位系统 将MSVCR71.dll拷贝至 C:WindowsSystem3264位系统 将MSVCR71.dll拷贝至 C:windowsSysWoW64注意：如果不做该操作会导致控制台安装完成后服务不能启动,安装控制台,Console配置,服务启动,随Windows服务自动启动,点击桌面的服务手动启动,登录网址http:/管理服务器IP:8088/SecIDS3600/,控制台登录,账号管理员配置,审计管理员配置,操作管理员配置,操作管理员配置,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,典型案例金税三期项目,国家税务总局为国务院主管税收工作的直属机构（正部级）。关注重点：各种威胁检测快速安全预警全网部署多级管理对新型攻击的快速响应可靠性,2012年网神中标金税三期十九省市近400台入侵检测产品，并于同年陆续实施建设完成，2013年至今多省地税对网神入侵检测产品进行了续采。,典型案例金税三期项目,防护总体结构,典型案例金税三期项目,在2台核心交换机上分别部署1台千兆入侵检测引擎，通过入侵检测系统对数据中心网络的核心数据进行检测,安全管理区部署网神安全管理系统，通过该系统，对总局和各省局网神入侵检测系统的集中管控,南海部署结构,典型案例金税三期项目,省国税局部署结构,在各省国税局数据中心核心交换机上分别部署1台千兆入侵检测引擎，通过入侵检测系统对数据中心网络的核心数据进行检测,在各省国税局安全管理区部署网神安全管理系统，实现对各省局及下辖各地（市）局网神入侵检测系统的集中管控,典型案例金税三期项目,地市级部署结构,在各地（市）国税局安全管理区部署网神安全管理系统，实现对各地（市）局网神入侵检测系统的集中管控。,在各地（市）局核心交换区部署1台千兆入侵检测引擎，监听2台核心交换机的流量，通过入侵检测系统对通信流量检测,典型案例金税三期项目,在国税总局数据中心（北京、南海）节点部署网神安全管理系统，负责管理总局和各省级局的入侵检测系统；各省级国税局的安全管理系统，负责管理本省局和与之相连的各地（市）级局的入侵检测系统；各地（市）级国税局的安全管理系统，负责管理本地（市）局的入侵检测系统。,多级管理结构,目录,网神IDS产品简介网神IDS产品架构、技术原理网神IDS产品功能、性能及关键技术详解网神IDS产品配置及上线实施指南网神IDS产品典型应用案例技术剖析网神IDS产品技术支持与维护经验分享,维护经验分享,1.快速处理问题方法2.导入离线特征库升级包3.备份IDS控制台策略配置文件4.IDS的http端口修改,维护经验分享,5.实时事件及流量没有显示出来6.查询报表没有显示处理方法7.在win2003、2008系统中控制台注意事项8.如何区分新旧版本IDS9.关闭Java自动更新功能,1.快速处理问题方法,当IDS出现异常问题时，可以清理JAVA缓存和删除httproot文件来尝试解决这些问题1.清理java缓存2.删除httproot文件夹,1.1查看JAVA版本,1.1清理JAVA缓存,1.2删除httproot文件夹,步骤1：打开IDS控制台的安装目录步骤2：选择httproot文件夹步骤3：删除httproot文件夹,2.导入离线特征库升级包,当IDS的控制台不能连接互联网，需要通过控制台给IDS做离线升级 操作方法：使用操作管理员登录，在IDS控制台找到【检测策略】-【汇入策略】-选择升级离线升级包文件-点击【打开】即可 注意： IDS离线升级包可以使用最新版本，升级完成后，需要与设备同步，否则最新的特征库不能下发到IDS设备,2.导入离线特征库升级包,3.备份策略配置文件,备份IDS策略与备份防火墙的配置是同样重要的，如果用户安装IDS控制台的主机损坏或更换，可通过策略恢复还原之前备份的策略操作方法：在IDS控制台找到【检测策略】-【汇出策略】-选择保存路径-填写文件名称-点击【保存】,3.备份策略配置文件,4.IDS的http端口修改,IDS默认的http访问端口为8088当IDS端口与其他业务冲突时，在以下文件中修改C:Program Files (x86)SecIDS3600conf将修改此端口号 sys.http_server_port = 8088,5.控制台实时事件无法显示,问题分析：导致该问题的可能原因只有2个 1.检查安装IDS控制台的PC或者服务器自身的防火墙是否是关闭状态 2.检查IDS设备与IDS控制台之间是否有防火墙或者交换机，这些设备是否阻断了TCP 7594-7596 、UDP 7594-7596端口,6.控制台查询报表没有显示,问题分析：导致该问题的可能原因只有 3个1. 检查安装 IDS 控制台的 PC 或者服务器自身的防火墙是否关闭状态2. 检查IDS设备与IDS控制台之间是否有防火墙或者交换机，这些设备是否阻断了TCP 7594-7596 、UDP 7594-7596端口3.如果以上 2条都排除，可能是 MySQL 或者JAVA的配置不正确，请重新安装、配置MySQL及JAVA,7.控制台在Win2008/12注意事项,1.新版本的IDS控制台 V4.0 (D20) 可以安装到Windows2008/2012 2.在Windows2008/2012安装IDS控制台完成以后，请在系统服务里找到SecIDS的服务，将该服务停止，选择手动启动3.在桌面找到“启动SecIDS 服务器”的快捷方式图标，右键选择“以管理员身份运行”即可,8.如何区分新旧版本IDS,新老版本的IDS可以从以下3个方面确认,9.关闭Java自动更新功能,Java默认安装版本为6U45安装Java后需要手动关闭Java的自动更新功能其他版本的Java将可能导致管理控制台功能无法使用,Thank!,