1、網神SecIDS 3600入侵檢測系統（新版）技術培訓技術服務中心目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享什么是入侵檢測系統旁路部署設備：通過與交換機的鏡像口連接，檢測網絡上或操作系統上可疑行為并記錄下來，作出反映（實時告警）通知網絡管

2、理員采取相應的解決措施，最大限度的保障網絡系統安全。防火墻的合理補充：一是檢測并記錄網絡上的攻擊行為，二是可通過管理員的權限（包括安全審計、攻擊識別和配置響應方式等）提高信息安全基礎結構的完整性。認為是防火墻的第二道安全閘門。特點：在不影響網絡性能和正常通信的情況下，可對內外部攻擊行為等進行實時監測，是安全防御組件的一個重要組成部分。什么是入侵檢測系統技術層面：對具體的安全技術人員，可以利用IDS做為工具來發現安全問題、解決問題。什么是入侵檢測系統意識層面：對政府或者大的行業來說，是可以通過IDS來建立一套完善的網絡預警與響應體系，減小安全風險。IDS與防火墻關系IDS vs 防火墻 ？IDS

3、作為網絡安全的第二道閘門是防火墻的有力補充IDS與防火墻關系 聯動響應 IDS檢測被放行的數據包，發現攻擊行為可以及時告警，并與防火墻聯動傳統防火墻IDS 傳統防火墻：合規的請求中加載著攻擊行為，防火墻無法識別。新版IDS介紹讓我們來認識新版 NGIDS 新版IDS優勢性能提升功能完善新版IDS功能優勢功能現有版本新版本特征庫數量2000+2500+IPv6不全全面支持僵尸網絡識別無有虛擬通道軟件識別無有全局預警無有管理員多鑒別機制無有（OTP一次性密碼驗證）操作員ip地址限定無有新版IDS性能優勢性能提升新版產品性能全面超越現有版本性價比更高新版推出最高端萬兆IDS性能不再是瓶頸新版最高端接

4、口模塊化組合滿足靈活定制需求新版IDS標志新版標志 全線支持液晶屏設備狀態直觀呈現管理IP、設備IP、資源使用率新版IDS最高端產品新版 最高端！目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享系統架構Microsoft Windows 操作系統平臺數據庫系統 Java Run-Time Environment (JRE)控制臺Plug-in邏輯架構及數據處理流程MS_01 可靠時間戳MS_02 特征碼更新IDS_01 協議異常行為分析IDS

5、_02 特征匹配IDS_03 攻擊響應MS_03 系統管理MS_04 日志及報表MS_05 用戶管理通訊端口示意圖DUC升級TCP 443/8861數據庫TCP 3306引擎與管理服務器TCP 7595UDP 7596TCP 7594控制臺與管理服務器TCP 8088/8863入侵分析技術 入侵分析技術主要有三大類協議分析異常檢測模式匹配協議分析 概念：IDS引擎采用DPI技術，深入讀取IP包載荷的內容來對OSI2-7層協議中的應用層信息進行重組，從而完成協議識別及應用識別。協議識別種類端口識別DFI（深度流檢測）DPI（深度包檢測）協議識別方式端口流特征內容（特殊字段）處理速度很快快較慢維護

6、成本極少更新不頻繁經常更新準確性一般準確精確協議分析主流技術分類異常檢測 概念： 異常檢測也稱為模型檢測，需要為用戶組建立模型。模型中包含典型用戶習慣。模型中為用戶定義了行為特征，為每個用戶執行正常任務定義了一個基線。 優點： 1.支持對虛假報警的可調控性 2.檢測以前未發布的攻擊 缺點 1.用戶習慣改變時，必須更新用戶模型 2.很難把特定的攻擊與報警相關聯 3.復雜而且難于理解模式匹配 概念：濫用檢測也稱為模式匹配 。這種方法探測與具體特征相匹配的入侵行為。這些簽名特征基于規則庫。 優點： 1.特征是基于已知的入侵行為 2.配置后立即就能探測攻擊者 缺點： 1.需要更新特征數據庫 2. 未知

7、攻擊、變形攻擊無法檢測 3.計算量大目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享主要功能簡介攻擊檢測2500條檢測特征庫入侵逃逸檢測異常流量檢測流量協議分析事件響應事件實時顯示事件過濾、歸并事件斷網續傳事件備份恢復多種報警響應多種統計報表策略配置內置典型模板缺省策略恢復特征庫在線、離線升級基于接口的策略配置系統管理拓撲管理組件引擎狀態監控雙因素登錄認證液晶屏顯示時間同步特色1：全面的攻擊檢測 模式匹配 協議分析 異常行為識別識別檢測檢測

8、SQL注入 Dos/DDos 僵尸網絡 端口掃描 蠕蟲木馬 緩沖區溢出 Web攻擊 Android攻擊 違規應用 RBL特色2：靈活的告警策略豐富的告警方式提示威脅發生根據時間制定不同的響應策略與防火墻聯動 阻斷高危攻擊支持標準接口告警事件外報工作時間下班時間工作時間8:00-17:00特色3：適用常見網絡環境支持MPLS、VLAN網絡環境部署具備雙協議棧(dual stack)架構，能同時識別IPv4和IPv6通訊流量。實現對IPv6網絡、IPv4網絡以及IPv6/v4混合網絡環境中的攻擊檢測IPv6/v4 雙棧協議網絡（以太網）IPv4協議棧IPv6協議棧TCP / UDP應用網絡環境支持

9、時間對象：日/月/周統計對象：來源/目的/名稱排名對象：Top 5 - 10特色4：豐富的報表展現Top 10攻擊來源Top 10攻擊目的Top 10 攻擊來源至目的Top 10 攻擊名稱 嚴重程度趨勢圖攻擊種類趨勢圖服務統計圖嚴重程度統計圖攻擊種類統計圖內容：內置7種樣板，支持自定義報表樣板輸出格式：支持HTML、PDF、CSV、Word計劃任務：支持周期或一次生成報表保存方式：支持email、FTP、本地保存統計報表交叉報表自動報表產品全景圖D1500-T302PD1500-T602PD5000-TA02P/D5000-TA02MD5000-TA22P/D5000-TA22MD10000-

10、TB22M入門級 中小型企業級 中型企業級 大型企業級 千兆百兆萬兆產品規格型號產品型號D1500-T302PD1500-T602PD5000-TA02PD5000-TA02MD5000-TA22PD5000-TA22MD10000-TB22M硬件指標接口配置6電2光6電6電2光6電2光6電4光6電4光2電4擴展液晶配置支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏支持液晶屏物理特性機型型態1U1U2U2U2U2U2U電源配置單電源單電源單電源冗余電源單電源冗余電源冗余電源監控流量300M600M1200M1200M2000M2000M4000M擴展模塊N/ADM-2X DM-8

11、TDM-8S技術1：領先的檢測技術數據包重組數據包重組協議分析協議分析簽名特征匹配簽名特征匹配應用層協議分析 基于狀態的應用層協議分析 應用層協議預處理 低層協議分析 流的重組序列號 重新排序 碎片整理 技術2：協議異常行為分析主要針對2層-4層的分析、檢測技術3：特征匹配主要針對特征簽名的匹配目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享安裝軟件 安裝環境 :Windows XP/7 server 2003/2008/2012 支持Win

12、dows 32位和64位系統 Java&JME： JRE6U45 & JME MySQL：5.1.54 （32位或64位） 控制臺：入侵檢測管理控制臺 安裝JAVA安裝JME安裝JME安裝MySQL配置MySQL安裝控制臺前注意事項 安裝過程中提示缺少MSVCR文件時， 需做以下操作： 32位系統 將MSVCR71.dll拷貝至 C:WindowsSystem32 64位系統 將MSVCR71.dll拷貝至 C:windowsSysWoW64 注意：如果不做該操作會導致控制臺安裝完成后服務不能啟動安裝控制臺Console配置服務啟動隨Windows服務自動啟動點擊桌面的服務手動

13、啟動登錄網址http:/管理服務器IP:8088/SecIDS3600/控制臺登錄賬號管理員配置審計管理員配置操作管理員配置操作管理員配置目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享典型案例金稅三期項目國家稅務總局為國務院主管稅收工作的直屬機構（正部級）。關注重點：各種威脅檢測快速安全預警全網部署多級管理對新型攻擊的快速響應可靠性 2012年網神中標金稅三期十九省市近400臺入侵檢測產品，并于同年陸續實施建設完成，2013年至今多省地稅對

14、網神入侵檢測產品進行了續采。典型案例金稅三期項目防護總體結構在數據中心（北京）和數據中心（南海）的骨干核心交換區上分別部署2臺高性能千兆入侵檢測引擎在各省局核心交換區上分別部署2臺千兆入侵檢測引擎在各地（市）局核心交換區上分別部署1臺高性能千兆入侵檢測引擎，采用雙路監聽典型案例金稅三期項目在2臺核心交換機上分別部署1臺千兆入侵檢測引擎，通過入侵檢測系統對數據中心網絡的核心數據進行檢測部署網神安全管理系統入侵檢測引擎安全管理區部署網神安全管理系統，通過該系統，對總局和各省局網神入侵檢測系統的集中管控南海部署結構典型案例金稅三期項目省國稅局部署結構在各省國稅局數據中心核心交換機上分別部署1臺千兆入

15、侵檢測引擎，通過入侵檢測系統對數據中心網絡的核心數據進行檢測在各省國稅局安全管理區部署網神安全管理系統，實現對各省局及下轄各地（市）局網神入侵檢測系統的集中管控 部署網神安全管理系統入侵檢測引擎典型案例金稅三期項目地市級部署結構部署網神安全管理系統入侵檢測引擎在各地（市）國稅局安全管理區部署網神安全管理系統，實現對各地（市）局網神入侵檢測系統的集中管控。 在各地（市）局核心交換區部署1臺千兆入侵檢測引擎，監聽2臺核心交換機的流量，通過入侵檢測系統對通信流量檢測典型案例金稅三期項目在國稅總局數據中心（北京、南海）節點部署網神安全管理系統，負責管理總局和各省級局的入侵檢測系統；各省級國稅局的安全管

16、理系統，負責管理本省局和與之相連的各地（市）級局的入侵檢測系統；各地（市）級國稅局的安全管理系統，負責管理本地（市）局的入侵檢測系統。 多級管理結構目錄 網神IDS產品簡介 網神IDS產品架構、技術原理 網神IDS產品功能、性能及關鍵技術詳解 網神IDS產品配置及上線實施指南 網神IDS產品典型應用案例技術剖析 網神IDS產品技術支持與維護經驗分享維護經驗分享1.快速處理問題方法2.導入離線特征庫升級包3.備份IDS控制臺策略配置文件4.IDS的http端口修改維護經驗分享5.實時事件及流量沒有顯示出來6.查詢報表沒有顯示處理方法7.在win2003、2008系統中控制臺注意事項8.如何區分新

17、舊版本IDS9.關閉Java自動更新功能1.快速處理問題方法 當IDS出現異常問題時，可以清理JAVA緩存和刪除httproot文件來嘗試解決這些問題1.清理java緩存2.刪除httproot文件夾1.1查看JAVA版本1.1清理JAVA緩存1.2刪除httproot文件夾 步驟1：打開IDS控制臺的安裝目錄 步驟2：選擇httproot文件夾 步驟3：刪除httproot文件夾2.導入離線特征庫升級包當IDS的控制臺不能連接互聯網，需要通過控制臺給IDS做離線升級 操作方法：使用操作管理員登錄，在IDS控制臺找到【檢測策略】-【匯入策略】-選擇升級離線升級包文件-點擊【打開】即可 注意：

18、IDS離線升級包可以使用最新版本，升級完成后，需要與設備同步，否則最新的特征庫不能下發到IDS設備2.導入離線特征庫升級包3.備份策略配置文件備份IDS策略與備份防火墻的配置是同樣重要的，如果用戶安裝IDS控制臺的主機損壞或更換，可通過策略恢復還原之前備份的策略操作方法：在IDS控制臺找到【檢測策略】-【匯出策略】-選擇保存路徑-填寫文件名稱-點擊【保存】3.備份策略配置文件4.IDS的http端口修改IDS默認的http訪問端口為8088當IDS端口與其他業務沖突時，在以下文件中修改C:Program Files (x86)SecIDS3600conf將修改此端口號 sys.http_server_port = 80885.控制臺實時事件無法顯示 問題分析：導致該問題的可能原因只有2個 1.檢查安裝IDS控制臺的PC或者服務器自身的防火墻是否是關閉