97国际

97国际睿易 97国际官方商城

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

Global / English
France / Fran?ais
Germany / Deutsch
Indonesia / Indonesian
Italy / Italiano
Japan / 日本語
Kazakhstan / Pусский
Poland / Polski

Portugal / Português
Spain / Espa?ol (Espa?a)
Thailand / ???????
Vietnam / Vi?t Nam
LATAM / Espa?ol
(América Latina)
Türkiye / Türk?e
Brazil / Português(Brazil)

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

交流机

交流机所有产品

< 返回产品

交流机主页

交流机

园区网交流机

园区网交流机所有产品

数据中心与云盘算交流机

数据中心与云盘算交流机所有产品

行业精选交流系列

行业精选交流系列所有产品

工业交流机

工业交流机所有产品

SDN

SDN所有产品

配件

配件所有产品

所有手艺解决计划

全万兆园区网络
全万兆园区网络

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

焦点路由器

焦点路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有手艺解决计划

园区网计划
极简出口解决计划

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

无线管理与应用
RG-WIS云管理平台

所有手艺解决计划

云桌面

云桌面产品计划中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

审查云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

服务产品

服务产品所有产品

所有手艺解决计划

清静

清静所有产品

< 返回产品

清静主页

清静

大数据清静平台

大数据清静平台所有产品

下一代防火墙

下一代防火墙所有产品

清静网关

清静网关所有产品

检测管理清静

检测管理清静所有产品

清静服务

清静服务所有产品

清静云

清静云所有产品

所有手艺解决计划

清静
97国际网络出口网安融合解决计划
企业办公综合出口解决计划
商贸连锁综合网关解决计划
高职教多营业出口解决计划

软件

软件所有产品

< 返回产品

软件主页

软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有手艺解决计划

教育
极简校园网综合运维管理

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

清静管理系列

清静管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

所有手艺解决计划

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实验服务

基础实验服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

清静服务

清静服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

97国际睿易

体验中心

97国际AI应用

网络钻研会

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商首页 >

运营商

政府

< 返回行业

政府首页 >

政府

金融

< 返回行业

金融首页 >

金融

好体验智营销强管理
金融无线互联网解决计划

互联网

< 返回行业

互联网首页 >

互联网

制造业

< 返回行业

制造业首页 >

制造业

高教/职教

< 返回行业

高教/职教首页 >

高教/职教

普教

< 返回行业

普教首页 >

普教

教育新基建
教育极简城域网解决计划
教育局云桌面

医疗卫生

< 返回行业

医疗卫生首页 >

医疗卫生

交通

< 返回行业

交通首页 >

交通

97国际睿易

体验中心

网络钻研会

解决计划

< 返回主菜单

行业

手艺及场景解决计划

交流机所有产品

< 返回解决计划

交流机

EDN体验驱动网络

热门计划

97国际·(中国区)集团官方网站

EDN体验驱动网络解决计划

面向金融、教育、企业等行业园区网以及分支网场景，从客户体验角度出发，打造弹性组网体验、优质用网体验、便捷清静体验、轻松运维体验，助力打造智慧园区，加速企业数字化转型。

算力互联

热门计划

97国际·(中国区)集团官方网站

AI Fabric智算中心网络解决计划

面向大规模智算场景，接纳高带宽、低时延的RoCE无损网络设计，为各行业用户提供无邪组网、智能调优、智能运维的算力中心建设计划。

智能园区与无线网络

热门计划

97国际·(中国区)集团官方网站

医疗新一代全院零周游解决计划

面向病房、门诊、科室等医疗场景，搭建高速、稳固、清静、简运维，适配未来医疗营业演进的无线网络，提升医疗服务效率和质量，助力智慧医院高效建设。

全光网

热门计划

97国际全场景全光园区网解决计划

97国际全场景全光园区网解决计划

融合以太彩光、光电混淆实时分复用手艺，突破古板网络带宽、距离、供电与运维瓶颈，为教育、医疗、企业办公、智能制造等场景提供万兆到桌面、营业零中止、分钟级运维的新一代全光网络基座。

网安融合

热门计划

97国际·(中国区)集团官方网站

97国际网络出口网安融合解决计划

面向高教、普教、政府、企业、医疗等用户的网络出口等场景, 通过网安融合，提供横向全域危害检测能力，并可通过外地情报库降低清静危害外溢，同时提供自动溯源和清静告警能力，资助运维职员提升一样平常清静运维管理效率。

云桌面

热门计划

97国际·(中国区)集团官方网站

清静云办公3.0解决计划

通过可靠的虚拟化平台、富厚的功效特征，为用户提供高清静、高体验、高效率的桌面办公计划。

行业解决计划

交流机所有产品

< 返回解决计划

交流机

运营商

运营商所有解决计划

运营商所有解决计划 >

政府

政府所有解决计划 >

金融

好体验智营销强管理
金融无线互联网解决计划

金融所有解决计划 >

互联网

互联网所有解决计划 >

制造业

制造业所有解决计划 >

高教/职教

高教/职教所有解决计划 >

普教

教育新基建
极智V5教育城域网
教育局云桌面

普教所有解决计划 >

医疗卫生

医疗卫生所有解决计划 >

交通

交通所有解决计划 >

97国际睿易

体验中心

网络钻研会

服务支持

< 返回主菜单

服务与支持中心

服务与支持

服务工具

小锐云服
小锐云桥
客服中心AI闪电侠
智能云管平台MACC
无线智能服务WIS
97国际清静云平台
审查所有

服务平台

云桌面服务平台
睿易服务平台
合作伙伴服务平台

手艺支持

服务产品

产品服务

教学服务

97国际ICT人才教育中心
校企合作
认证系统
培训妄想

合作伙伴

< 返回主菜单

合作伙伴中心

合作伙伴

成为97国际伙伴

合作伙伴政策
行为准则
清廉及合规举报
我要签约
SMB事业部分销专区

售前营销

市场资料库(合作伙伴)
97国际产品设置器
营销资料平台
售前认证
售前工具包
合作伙伴礼物库
e-Learning
产品资质盘问
远程POC

销售与订单

项目报备管理系统
订单管理
产品停服信息
产品停售信息
商务手册
行业渠道产品电商平台
历史订单盘问
授权函盘问

售后及服务

售后认证
售后工具包
RSDP 97国际服务交付平台
售后服务认证
售后知识平台
渠道服务管理系统（CSM）
SMB渠道客户服务平台（CCSP）

用户中心

系统指导大全
账号管理
下载电子授权牌
签约信息审查
资质盘问
签章管理
返利管理
睿易手艺认证盘问

关于97国际

< 返回主菜单

关于97国际首页

关于97国际

公司先容

公司动态

加入我们

社会招聘
校园招聘

联系97国际

营销资料平台

投资者关系

小我私家中心

97国际商城

返回主菜单

选择区域/语言

Global / English

Japan / 日本語

Türkiye / Türk?e

Vietnam / Vi?t Nam

Indonesia / Indonesian

Thailand / ???????

Spain / Espa?ol (Espa?a)

Portugal / Português

France / Fran?ais

Poland / Polski

Kazakhstan / Pусский

Germany / Deutsch

Italy / Italiano

Brazil / Português(Brazil)

LATAM / Espa?ol (América Latina))

97国际·(中国区)集团官方网站

首页
手艺博文
清静
RG-IDS入侵检测系统手艺白皮书

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

RG-IDS入侵检测系统手艺白皮书

检测网络中是否有违反清静战略的行为和被攻击的迹象的手艺是入侵检测系统

宣布时间：2009-09-25
点击量：
点赞：

分享至

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

我想谈论

1 概述

1.1 什么是网络入侵检测

1.1.1 入侵检测系统

当信息化在各个行业中普遍应用并带来显着效益的时间，信息清静便成为现在迫切需要解决的问题。从古板的信息清静要领来看，接纳严酷的会见控制和数据加密战略来防护在很长一段时间来取得了显着的效果，但在重大系统中，接纳这些战略显着是不充分的，确切来讲它们是系统清静不可缺的部分，但不可完全包管系统的清静。在信息清静短暂而却漫长的生长历程中，一种对入侵行为的觉察手艺和应用徐徐被人们所重视，网络管理专家们要求有一种装备，它能够通过从盘算机网络的若干要害点网络信息并举行剖析，从中发明网络中是否有违反清静战略的行为和被攻击的迹象，这种装备就是现在被人们普遍使用的入侵检测系统（Intrusion Detection System缩写IDS）。

入侵检测系统(Intrusion Detection System)通过从盘算机网络或盘算机系统的要害点网络信息并举行剖析，从中发明网络或系统中是否有违反清静战略的行为和被攻击的迹象。入侵检测系统可以说是防火墙系统的合理增补和延伸，若是说防火墙是第一道清静闸门，入侵检测系统则可以说是第二道清静闸门。入侵检测系统在不影响网络性能的条件下，实时、动态地�；だ醋阅诓亢屯獠康闹种止セ�，同时有用地填补了防火墙所能抵达的防护极限。

凭证举行入侵剖析的数据泉源的差别，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。

基于网络的入侵检测系统（NIDS）的数据泉源为网络中传输的数据包及相关网络会话，通过这些数据和相关清静战略来举行入侵判断�；谥骰娜肭旨觳庀低常℉IDS）的数据泉源主要为系统内部的审计数据，通过这些数据来剖析、判断种种异常的用户行为及入侵事务。

1.1.2 入侵检测系统事情流程

通常入侵检测系统为了剖析、判断特定行为或者事务是否为违反清静战略的异常行为或者攻击行为，需要经由下列四个阶段：

1 数据收罗

网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)使用处于混杂模式的网卡来获得通过网络的数据，收罗须要的数据用于入侵剖析。

2 数据过滤

凭证预界说的设置，举行须要的数据过滤，从而提高检测、剖析的效率。

3 攻击检测/剖析

凭证界说的清静战略，来实时监测并剖析通过网络的所有通讯营业，使用收罗的网络包作为数据源举行攻击区分，通常使用模式、表达式或字节匹配、频率或穿越阀值、事务的相关性和统计学意义上的非通例征象检测这四种手艺来识别攻击。

4 事务报警/响应

当IDS一旦检测到了攻击行为，IDS的响应�？榫吞峁┒嘀盅∠钜酝ㄖ⒈ň⒍怨セ鹘幽上煊Φ姆从�，通常都包括通知管理员、纪录在数据库。

1.1.3 入侵检测系统的基本架构

信息的网络主要由Sensor认真，sensor称为网络传感器，它对网络数据举行监听，由于性能和清静的需求，现在的传感器多接纳专用的装备来实现，它的一块网卡通过混杂模式毗连在被检测的网段上认真网络网络数据包，另一块网卡用于管理，其它�？槿险嫫饰龊痛χ贸头Ｊ莅�。因此，信息网络需要在网络系统中的若干差别网段要害点举行网络，由于入侵检测很洪流平上依赖于网络信息的可靠性和准确性。

信息剖析是IDS手艺中的焦点问题，接纳什么样的检测手艺直接关系到报警信息的准确性。虽然检测手艺有许多种，但现在主流的检测要领有三种：模式匹配、异常检测、协议剖析。虽然效果处置惩罚就包括了系统的误报和漏报。
响应控制是针对发明可疑行为后的处置惩罚机制，现在常见的响应方法包括：写入数据库、在控制管理平台上显示、发送阻断请求给防火墙、发送给事务剖析工具等。

1.2 主流入侵检测手艺

1.2.1 模式匹配手艺

模式匹配手艺是入侵检测手艺领域中应用最为普遍的检测手段和机制之一，模式匹配手艺也称攻击特征检测手艺，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵要领都可以用匹配的要领来发明，模式发明的要害是怎样表达入侵的模式，把真正的入侵与正常行为区脱离来。

模式匹配手艺有它自己的利益：好比只需网络相关的数据荟萃，显著镌汰系统肩负，同时模式匹配手艺经由多年生长已经相当成熟，使得检测准确率和效率都相当高，这也是模式匹配手艺至今仍然保存并被使用的理由。虽然，纯粹的模式匹配手艺也同样具有显着的缺乏：

• 若是对整个网络流量举行匹配，盘算量很是大，系统有严重的性能问题。

• 只能使用牢靠的特征模式来检测入侵，对做过变形的攻击无法检测，因此容易被逃避检测。

• 特征库重大，对攻击信号的真实寄义和现实效果没有明确能力，因此，所有的变形都将成为攻击特征库里一个差别的特征，这就是模式匹配系统有一个重大的特征库的缘故原由所在。

因此，模式匹配的这种检测机制决议了它对已知攻击的报警较量准确，局限是它只能发明已知的攻击，对未知的攻击无能为力，并且误报率较量高。最为缺乏的是对任何妄想绕开入侵检测的网络攻击诱骗无能为力，由此会爆发大宗的虚伪报警，以至于淹没了真正的攻击检测。

1.2.2 异常检测手艺

基于异常检测要领主要泉源于这样的头脑：任何人的正常行为都是有一定纪律的，并且可以通太过析这些行为爆发的日志信息总结出这些纪律，通常需要界说为种种行为参数及其阀值的荟萃，用于形貌正常行为规模。而入侵和滥用行为则通常和正常的行为保存严重的差别，通过检查出这些差别就可以检测收支侵。这样，我们就能够检测出不法的入侵行为甚至是通过未知攻击要领举行的入侵行为，别的不属于入侵的异常用户行为（滥用自己的权限）也能被检测到。

异常检测手艺的检测流程：

入侵检测手艺具有的特点：

• 异常检测系统的效率取决于正当用户行为界说的完整性和监控的频率巨细

• 由于不需要对每种入侵行为举行界说，因此能有用检测未知的入侵

• 系统能针对用户行为的改变举行自我调解和优化，但随着检测模子的逐步准确，异常检测会消耗更多的系统资源

• 漏报率低，误报率高

因此，异常检测手艺假定所有入侵行为都是与正常行为差别的，若是建设系统正常行为的轨迹，那么理论上可以把所有与正常轨迹差别的系统状态视为可疑妄想。关于异常阀值与特征的选择是异常发明手艺的要害。好比，通过流量统计剖析将异常时间的异常网络流量视为可疑。异常发明手艺的局限是并非所有的入侵都体现为异常，并且系统的轨迹难于盘算更新。

虽然要使用异常检测还面临着几个问题：

• 用户的行为有一定纪律性，但选择哪些数据来体现这些纪律的行为仍然保存一些问题。

• 怎样有用体现这些正常行为，使用什么要领反应正常行为，怎样能学习到用户的新正常行为保存问题。

• 纪律的学习历程时间究竟为几多，用户行为的时效性等问题。

1.2.3 协议剖析手艺

协议剖析是现在最先进的检测手艺，是在古板模式匹配手艺基础之上生长起来的一种新的入侵检测手艺。它主要是针对网络攻击行为中攻击者妄想逃避IDS的检测，对攻击数据包做一些变形，它充分使用了网络协议的高度有序性，并团结了高速数据包捕获、协议剖析和下令剖析，来快速检测某个攻击特征是否保存，从而逃避IDS的检测而开发设计的。它最大的特点是将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与规则库举行匹配，因此它能够通过对数据包举行结构化协议剖析来识别入侵妄想和行为。协议剖析大大镌汰了盘算量，纵然在高负载的高速网络上，也能逐个剖析所有的数据包。接纳协议剖析手艺的IDS能够明确差别协议的原理，由此剖析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，剖析不但仅基于协议标准，还基于协议的详细实现，由于许多协议的实现偏离了协议标准。协议剖析手艺视察并验证所有的流量，当流量不是期望值时，IDS就发出告警。协议剖析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻击要领。
同时，状态协议剖析手艺就是在通例协议剖析手艺的基础上，加入状态特征剖析，即不但仅检测简单的毗连请求或响应，而是将一个会话的所有流量作为一个整体来思量。有些网络攻击行为仅靠检测简单的毗连请求或响应是检测不到的，由于攻击行为包括在多个请求中，此时状态协议剖析手艺就是IDS手艺的首选。同时协议剖析是凭证结构好的算法实现的，这种手艺比模式匹配检测效率更高，并能对一些未知的攻击特征举行识别，具有一定的免疫功效。

1.3 常见安排方法

IDS产品在共享式网络中的安排方法很是简朴，监听网卡毗连到需检测的网段中即可，网卡网络网络中的所有数据包举行剖析和处置惩罚，其优点是不影响网络结构和正常通讯。

在交流式网络中情形较量重大，通常有三种网络数据的方法：

• 一种方法是网络接口卡与交互装备的监控端口毗连，通过交流装备的Span/Mirror功效将流向各端口的数据包复制一份给监控端口，入侵检测传感器从监控端口获取数据包举行剖析和处置惩罚。

• 第二种方法是在网络中增添一台集线器改变网络拓扑结构，通过集线器（共享式监听方法）获取数据包。例如，若是一个交流机端口毗连到一个毗连在Internet的路由器上，就可以在路由器和交流机之间插入一个小集线器。

• 第三种方法是入侵检测传感器通过一种TAP（分路器）装备对交流式网络中的数据包举行剖析和处置惩罚。
传感器可以被安排在企业网络中的任何可能保存清静隐患的网段。在这些网段中，凭证网络流量和监控数据的需要来决议安排差别型号的传感器。

2 97国际入侵检测产品

2.1 RG-IDS系统结构

焦点系统架构

RG-IDS的焦点检测手艺是新一代的协议剖析手艺。该手艺团结了硬件加速信息包捕获手艺、基于状态的协议剖析手艺和开放的行为形貌代码形貌手艺来探测攻击。这三大手艺组成了RG-IDS所有解决计划的基础，它显著地提高了入侵检测系统的检测准确率和系统性能。

下面是RG-IDS焦点手艺的系统架构：

硬件加速包截获手艺

在整个系统架构中，RG-IDS的sensor在底层接纳硬件加速包截获手艺，通过硬件加速，大幅度提高了监听网卡的抓包能力，包管了信息网络的完整。如在一个真实的网络情形中，纵然网络的负载抵达1000Mbps，RG-IDS的硬件加速包截获手艺也能确保不丧失一个数据包。

TCP/IP协议状态检测

在RG-IDS的sensor捕获数据包后，将数据送到IP及TCP层，在这一层上，sensor接纳了完整的状态追踪手艺，在IP分片重组、排序，TCP流重组的基础上，完整纪录和坚持Session的提倡、建设和竣事等状态，同时纪录序列号（Sequence Number）并举行协议状态检测剖析，确保不会受到IDS逃避手艺的诱骗。

应用层协议剖析

当TCP/IP协议状态检测后，在将数据包送到应用层，在应用层，接纳了完整的应用层协议剖析手艺。RG-IDS协议剖析手艺是一种新型的入侵检测手艺，它充分使用了网络协议的高度有序性，使系统在每一层上都沿着协议栈向上解码，因此可以使用所有目今已知的协议信息，来扫除所有不属于这一个协议结构的攻击。

攻击特征匹配

RG-IDS剖析器是一个下令诠释程序，入侵检测引擎包括了多种差别的下令语法剖析器。下令剖析用具有读取攻击字符串及其所有可能的变形，并掘客其实质寄义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。

2.2 RG-IDS产品特点

RG-IDS系列产品具有以下突出手艺特点：

2.2.1 基于状态的协议剖析手艺

RG-IDS的协议剖析手艺，是对已知协媾和RFC规范的深入明确，可准确、高效的识别种种已知攻击。同时凭证系统协议剖析的算法，sensor拥有检测协议异常、协议误用的能力，彻底解决了以往基于模式匹配手艺的IDS产品片面依赖攻击特征署名数目来检测攻击的误差，极大的提高了检测的效率，扩大了检测的规模。RG-IDS现在支持Telnet、FTP、HTTP、SMTP、SNMP、DNS等多达30种的主流应用层协议，遥遥领先与其他IDS品牌。

例如RG-IDS检测一个http的会见，第一步直接跳到数据帧的第13个字节，读取2个字节的协议标识。若是值是0800，则说明这个以太网帧的数据域携带的是IP包，然后第二步跳到第24个字节处读取1字节的第四层协议标识，若是读取到的值是06，则说明这个IP包的数据域携带的是TCP包，第三步跳到第35个字节处读取一对端口号。若是有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，第四步让剖析器从第55个字节最先读取URL。URL串将被提交给RG-IDS的HTTP剖析器后，由HTTP剖析器来剖析它是否可能会做攻击行为。

RG-IDS接纳这种先进的检测手艺，使它具有了显着的优势：

• 使用协议剖析已知的通讯协议，在处置惩罚数据帧和毗连时越发迅速和有用准确，镌汰了误报的可能性。

• 能够关联数据包前后的内容，对伶仃的数据包不举行检测，这和通俗IDS检测所有数据包有着实质的区别。一方面由于这种检测机制的高效性降低了系统在网络探测中的资源开销，大幅度提高了检测性能，另一方面由于在下令字符串抵达操作系统之前，模拟了它的执行，以确定它是否具有恶意，有用镌汰了误报。

• 它具有判别通讯行为真实意图的能力，它不会受到像URL编码、滋扰信息、IP分片等入侵检测系统规避手艺的影响。当检测到的所有数据信息经由应用协议剖析后，RG-IDS将真实的应用数据与署名库举行攻击特征的匹配，由于我们知道特征匹配仍然是检测效率最高的和最准确的检测手艺。只是这种匹配，与通俗基于模式匹配的检测机制有着实质上的区别，它是在协议剖析和还原以后真实有用的数据，这种真实可靠的有用数据的匹配，一方面提高了检测效率，另一方面，增强了检测攻击的准确度，镌汰了误报的概率。

2.2.2 基于目的操作系统指纹识别的智能IP碎片重组手艺

97国际IDS基于目的操作系统指纹识别的智能IP碎片重组手艺接纳先进的，越发隐藏清静的被动探测事情方法来探测剖析目的主机的操作系统，并凭证探测效果接纳针对性的IP碎片重组手艺，在阻止误报和漏报的同时，极大的提高了IP碎片重组的速率，从而提升了引擎的性能。

2.2.3 应用层有限状态机手艺

97国际的应用层有限状态机手艺可以包管对每一个攻击举行详尽的历程状态量界说，这样界说的攻击署名与只依赖一两个外貌特征界说的署名相比有着极高的质量优势，可以拥有最低的误报率和最小的漏报率。

2.2.4 Sensor级别的多端口智能关联和剖析手艺

接纳这种手艺可以包管纵然安排在重大的、高冗余要求的网络情形中，97国际的RG-IDS系列产品仍然可以准确高效的举行事情，在差池称路由网络情形中也可完整举行状态的追踪。

2.2.5 开放的署名编写语言平台

97国际将先进高效的署名编写语言平台开放给客户，使用户可以凭证自己的需要，撰写状态检测署名；并可以凭证客户的需要提供针对私有协议的定制署名服务。

2.2.6 专门设计的高性能专用平台

RG-IDS接纳了专用硬件承载平台设计，配合RGOS(RG-Operation System)，提供多处置惩罚器并行、多历程增强和多线程优化的手艺，包管IDS的检测效率能够抵达最大化。97国际专门设计操作系统基于高性能硬件平台，接纳专有清静操作系统内核，在具备强盛数据处置惩罚能力的同时，在清静事务显示方面作出了立异的转变，以系统清静危害评估为焦点，接纳准实时的图形化方法来显示清静事务，使用户从大宗死板的报警事务中解脱出来。

2.2.7 基于会话状态的检测

RG-IDS 接纳先进的状态协议剖析手艺，能准确跟踪网络毗连的会话，准确、高效的检测网络运动。

2.2.8 开放的行为形貌代码

RG-IDS使用一种奇异、高效的“行为形貌代码”建设署名，“行为形貌代码”触发传感器最先网络事务的数据。例如，若是一个数据包有一个UDP包头，UDP战略的行为形貌代码便最先网络数据。行为形貌代码同时还告诉传感器该如那里置数据，行为形貌代码中提供的功效告诉传感器纪录什么类型的数据，并将该数据转达到纪录器上。例如，Pingflood战略告诉传感器来追踪源和目的IP地址、所发送的包数，及最后一个包之后总共的时间。所有的这些信息都发送到纪录器上去。

行为形貌代码的其他功效告诉传感器什么数据可作为警报发送。例如，Pingflood战略包括行为形貌代码，并告诉传感器引擎：在某时间，若是向某特定IP地址发送了凌驾一定量的ping包，便需向管理员发送警报。

2.2.9 基于误差保存的蠕虫检测手艺

IDS若是对蠕虫的检测是基于特征，那么将无法对变种的蠕虫举行检测，同时也无法对未知蠕虫举行有用检测。RG-IDS不但可以通过署名举行蠕虫检测，在对未知蠕虫的检测方面，它对流量异常举行统计剖析外，更主要的是使用了系统和软件的误差举行检测。由于当黑客释放蠕虫后，蠕虫是搜索误差，使用搜索效果攻击系统，复制副原来举行漫溢的。因此RG-IDS基于误差的检测是从基础上包管了检测的准确性，同时也为用户加固系统提供了有力的资助。

2.2.10 反IDS逃避能力

RG-IDS可以检测攻击者的一些逃避手艺，如Hex,Unicode，空格等

HTTP允许hex等同于一个可印刷ASCII字符使用一种特命名堂列出，例如“％20”把HTTP hex字符等同于一个空格。现实上，％20在URL中经常使用，来代表路径名或文件名中的空格。这种使用是完全正当的——在URL中使用hex编码没有错。网络服务器，好比Microsoft IIS知道hex编码，并在处置惩罚URL时举行适当的解码。

为识别通过hex、Unicode编码造成疑惑攻击，RG-NID在查找内容之前，对他们实验解码。如IDS先将“script％73/iisadmin”解码成“scripts/iisadmin”，然后对该字符串举行剖析，并决议天生怎样的警报。由于我们的署名不是执行简朴的文本匹配，而是提供一个优越的攻击特征署名计划，基于以上逃避手艺或者混淆手艺都无法逃避97国际IDS的监测。

2.2.11 判别非标准通讯协议

RG-IDS的署名使用状态协议剖析，它可用来识别非标准通讯——不切合某端口预期协议的通讯。例如，我们预期在端口80看到HTTP通讯。然而，一些人居心设置其他非HTTP协议来使用端口80，通常这是由于端口80通讯是许多防火墙都允许通过的。在许多情形下，这种使用是对清静战略的违反。

标准IDS攻击特征署名手艺不可识别非HTTP通讯流，但基于状态协议剖析的攻击特征署名可以轻松做到这一点�？梢苑⒚鞑⒈ǜ婵赡艿贾卵现厍寰参蟛畹男槲シ葱形�。协议攻击特征署名设置不但基于RFC常用协议的标准，还基于违反RFC协议标准所建设特殊应用。

2.2.12 多层漫衍式系统结构

新一代的RG-IDS接纳立异的三层漫衍式系统结构设计，在古板的Sensor和控制台之间加入了事务网络器（Event Collector）和日志服务器（LogServer）等中心层组件，利便种种网络情形的无邪安排和管理。同时，各个组件都支持HA(高可用性)方法，确保在一个大型的、漫衍式的网络中能够实现无邪的、可靠的安排。

多层漫衍式系统结构具有两个利益，一个是能够举行大规模安排，举行统一集中管理；另一个从机制上包管了整个IDS系统运行和监控的清静可靠。也正是这种三层结构，使得RG-IDS的安排方法有许多种，虽然凭证网络规�？梢皂б庋≡�，如简朴安排就可以将管理平台、事务网络器和数据库管理器同时装置在一台机械上，而传感器单独装置。若是举行漫衍式安排，可以将管理平台、事务网络器、传感器、数据库管理器划分装置的差别的机械上，其中事务网络器是漫衍式安排的要害。

管理平台

在整个IDS系统的管理上，管理平台无疑是与用户直接交互的操作平台。RG-IDS管理平台是一个基于Windows的应用程序，它提供图形界面来举行用户管理、数据盘问、审查警报并设置传感器、数据库管理器以及报表天生等功效。通过一个管理平台，可以管理多个传感器。同时管理平台也提供了很好的会见控制机制，差别的管理员被授予差别级别的会见权限，如允许或榨取盘问、警报及设置等会见。

在清静事务显示方面，RG-IDS以系统清静危害评估为焦点，接纳准实时的图形化方法来显示清静事务。它为用户提供了：

图形化的清静事务剖析和显示窗口

无邪的战略设置和参数调解

直观的资产控制

事务网络器

一个大型漫衍式应用中，用户希望能够通过单个管理平台完全管理多个传感器，允许从一其中央点分发清静战略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过装置一个事务网络器来实现集中管理，事务网络器现实上认真管理传感器及其数据库管理器。

远程传感器可以有同样设置，犹如样的战略和警报。每个传感器也可以被自力举行设置，从而在需要的时间激活差别的战略。例如，既可以在所有传感器上邮件战略包内激活“邮件信息名单”战略，也可以只在部分传感器上激活该战略。
传感器上一些设置是独吞的，例如用于监控的网络接口、系统级变量、以及会见控制信息。例如，若是每个传感器都在监控一个差别的网络，每个传感器的设置在事务网络器上设定。

在一个多层应用中，通常用管理员界面来会见战略，但着实是由事务网络器来举行现实管理的，并从传感器上网络数据集中处置惩罚。差别组件之间的所有通讯都举行了清静加密。

传感器

传感器的基本功效是捕获网络数据包，并使用战略及署名对数据进一步剖析和判断，当发明可疑的事务时触发传感器发送警报。

传感器装备包括一个大硬盘作为事务数据的存储空间，如存储所有的证据数据和警报，当传感器与EC的毗连意外中止时，事务会生涯在SENSOR的硬盘上，当毗连恢复时再上传到EC，从而包管事务不会丧失。

管理员可使用管理平台来盘问数据，天生报告，或审查传感器的状态。传感器上另外有一些后台程序认真管理数据和系统。例如，空间管理程序管理磁盘空间，而会见控制程序管理对数据、警报和设置举行的会见。

2.2.13 P2P、IM等应用程序的流量监控

P2P和IM类软件近年来获得了普遍放的应用，在获得了便当的同时，P2P和IM软件的误差也逐渐显露出来。BT、eMule等P2P软件对网络带宽资源的占用很是大，可疑容易的占有80%的企业网络出口带宽，RG-IDS可以检控网络上常见的P2P程序和IM程序，充分包管企业正常营业的运行。

2.2.14 详尽纪任命户审计信息

RG-IDS提供强盛的战略包网络上岸认证数据，IDS 的管理员更容易凭证用户名,密码,源 IP,目的 IP,登录成败和服务名称（例如 FTP 或 IMAP ）来盘问网络的数据。我们可以追踪并纪录某特定协议，如FTP或POP3乐成和失败的验证。通过盘算在某会话中爆发验证妄想的数目，我们可以识别类似密码推测攻击的例子。另外，一旦一个用户验证乐成，我们便可为谁人会话的其他部分存储用户名。因此若是厥后在该会话中探测出攻击，我们便知道该用户帐号提倡了那次攻击。在执行事务处置惩罚人物或视察嫌疑运动时，很是有价值。

2.2.15 详细的参数设置

RG-IDS署名特征库为用户提供了详细的署名参数设置，通过参数的设置和调解，用户可以获得很是准确的报警信息，同时也使用户很是容易的去界说或者修正这些参数。例如：

1 调解Badfiles战略参数可以详细检查种种网络协议状态的机械提交的文件名。若是认定文件为恶意，Filenamerecorder战略子包纪录并报警。同时也可以剖析目今的FTP，AIM，WWW，SMB，SMTP和TFTP等协议的文件传输，凭证badfiles战略的第一行的参数值设置告警。若是一个可疑的文件在被检测到，并且使用SMTP协议，那么它就很可能是一个蠕虫病毒。

2 界说正当流量或者监视一些违反清静战略的流量设置。RG-IDS可以自界说一些像防火墙规则或路由器一样的ACL（会见控制列表），可以建设规则，当TCP，UDP或ICMP流量切合特定特征时爆发警报.可以界说值以匹配：

• IP 源地址和 / 或目的地址

• TCP 或 UDP 源端口和 / 或目的端口

• ICMP 代码和 / 或类型

这些在policy战略中可举行详细设置，在这个战略中你可以有用的视察你想体贴的异常网络通讯，可以像使用像设置防火墙一样的制订网络通讯战略。若是异常通讯在网络上发明,该战略将会引发一个告警。该规则的设置是编辑RULES_TCP，RULES_UDP和RULES_ICMP的值。详细的说明设置信息请看资助。这个战略通常仅仅发送告警若是匹配到自界说规则。然而，这个战略的开启较量耗资源，在网络流量较量大的情形下请小心使用。

3 有些重复告警事务过多，可以通过attack战略在引擎上抑制告警。RG-IDS除了接纳事务合并抵达镌汰显示外，还可以界说署名战略抑制告警洪波，以阻止相同的攻击影响Sensor对信息的清静剖析，可以预防DOS 攻击和蠕虫能够导致大宗告警。通过Attack战略参数，可以设置采样距离时间。在设置的时间内，相同的告警的次数凌驾界说的值会被界说为告警洪波事务，以后相同的告警将会被抑制，节约了sensor对相同告警事务处置惩罚历程。

4 可自界说可疑网址会见告警设置�？杀嗉抡铰缘膚ww/uservars Backend中的参数，如HOSTMATCH，添加需要监控的完整主机名.若是 HTTP Request 中的 URL 完全匹配该参数中的某个完整主机名，触发 HostMatch 告警。如"www.sina.com.cn"(包括双引号)，同样，FTP、SMTP等高层协议中都有uservars参数，用户可以自界说一些关注的监控的事务。

5 自界说所监控的网络规模，忽略受信任的主机通讯�？赏ü柚胢ynetwork可以设置外地IP地址，设置该参数可以刷新一些战略的检测性能，例如在Hostscan战略中，若是设置了my_network参数，则只检查目的地址在my_network规模内的主机扫描。参数可以接纳例如10.0.0.0:255.0.0.0 或 10.0.0.0/8 的形式。也可以设置可编辑src_ignore_list和dst_ignore_list来忽略不体贴或者受信主机通讯流量。

6 自界说网络中TCP毗连的超时期待时间，避免IDS被拒绝服务攻击�？赏ü越缢瞪柚肐DS的TCP的syn，synAck，synOpensession等超时的值，避免一些无用垃圾信息或者恶意的攻击对IDS的性能造成影响，壅闭IDS的正常检测。

相关标签：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

点赞

<< NPE（网络出口引擎）产品手艺白皮书

RG-WALL V系列清静网关SSL VPN手艺白皮书 >>

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，请联系97国际

与售前照料攀谈

填写项目需求表单

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法