入侵检测部署方案

1.1 入侵检测部署方案

1.1.1需求分析

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。

针对网络的具体情况和行业特点，我们得到的入侵检测的需求包括以下几个方面：

●入侵检测要求

能够对攻击行为进行检测，是对入侵检测设备的核心需求，要求可以检测的种类包括：基于特征的检测、异常行为检测（包括针对各种服务器的攻击等）、可移动存储设备检测等等。

●自身安全性要求

作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去除协议栈，并且能够抵抗各种攻击。

●日志审计要求

系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择，定制不同形式的报表。

●实时响应要求

当入侵检测报警系统发现网络入侵和内部的违规操作时，将针对预先设置的规则，对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警，用以提醒管理人员及时发现问题，并采取有效措施，控制事态发展。报警信息要分为不同的级别：对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外，必须在基于规则和相应的报警条件下，对不恰当的网络流量进行拦截。

联动要求

入侵检测系统必须能够与防火墙实现安全联动，当入侵检测系统发现攻击行为时，能够及时通知防火墙，防火墙根据入侵检测发送来的消息，动态生成安全规则，将可疑主机阻挡在网络之外，实现动态的防护体系！进一步提升网络的安全性。

1.1.2方案设计

网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。

入侵检测系统可以部署在网络中的核心，这里我们建议在网络中采用入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶

意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。IDS也可以与防火墙、内网安全管理等安全产品进行联动，实现动态的安全维护。

入侵检测系统解决的安全问题包括：

对抗蠕虫病毒：针对蠕虫病毒利用网络传播速度快，范围广的特点，给用户网络的正常运转带来极大的威胁，通过防火墙端口过滤，可以从一定程度上防范蠕虫病毒，但不是最好的解决方案，特别是针对利用防火墙已开放端口（比如红色代码利用TCP 80）进行传播的蠕虫病毒，对此需要利用入侵检测系统进行进一步细化检测和控制；

防范网络攻击事件：正如入侵检测系统的安全策略中描述的，针对XX用户数据中心区域和网络边界区域，入侵检测系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。并且还能够通过策略编辑器中的用户自定义功能定制针对网络中各种TCP/IP协议的网络事件监控；

防范拒绝服务攻击：入侵检测系统在防火墙进行边界防范的基础上，能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCP Flood，UDP Flood，Ping Abuse等；

防范预探测攻击：部署在总部数据中心区域和网络边界区域的入侵检测系统，能够很好的防范各种SNA类型和应用层的预探测攻击行为。主要防范的攻击类型有TCP SYN Scan，TCP ACK Scan，Ping Sweep，TCP FIN Scan等；

防范欺骗攻击：有些攻击能够自动寻找系统所开放的端口（比如安全服务区所开放的TCP 80、TCP 25），将自己伪装成该端口，从而绕过部署在数据中心区域和网络边界区域边界的防火墙，对防火墙保护的服务器进行攻击，而入侵检测系统则通过对应用协议的进一步分析，能够识别伪装行为，并对此类攻击行为进行阻断或报警；

防范内部攻击：对于总部局域网而言，内部员工自身对网络拥有相当的访问权限，因此对比外部攻击者，对资产发起攻击的成功概率更高。虽然总部局域网在网络边界部署防火墙，防范外部攻击者渗透到网络中，但是对内部员工的控制规则是相对宽松的，入侵检测系统通过对访问数据包的细化检测，在防火墙边界防护的基础上，更好地发觉内部员工的攻击行为。

1.1.3产品功能与特点

网御星云入侵检测系统基于分布式入侵检测系统构架，采用网御星云独创的USE统一安全引擎，综合使用模式匹配、协议分析、会话状态分析、异常检测、内容恢复、网络审计等入侵分析与检测技术，全面监视和分析网络的通信状态。在入侵监控的基础上，遵循CSC关联安全标准，可主动发包货与多种第三方设备联动来自动切断入侵会话，实现实时有效的防护，为网络创造全面纵深的安全防御体系。

产品优势

⏹高效精准的入侵检测

网御星云自主开发的USE统一安全引擎检测性能是普通检测引擎的3至5倍，百兆和千兆产品均可实现线速级的高性能处理。综合运用了协议分析、协议重组、快速特征匹配和异常行为检测等方法,还包括以下核心技术：

●并行数据采集的虚拟引擎技术：探测器可虚拟成多个独立的探测引擎，可

分别应用不同的检测和响应策略；虚拟探测引擎可多监听口协同采集数据，并汇聚分析检测。

●安全策略预检的高效分流机制：探测引擎对采集到的原始数据进行全局安

全策略的预判，对安全事件进行数据过滤，以达到提高检测性能，降低误报率。

●深度内容检测的应用分析算法：综合采用智能IP碎片重组和智能TCP流

会话重组技术，基于行为的内容深度检测算法，有效地改善了许多IDS普遍存在的高误报，高漏报问题