IDS实施方案Word格式.doc
《IDS实施方案Word格式.doc》由会员分享,可在线阅读,更多相关《IDS实施方案Word格式.doc(13页珍藏版)》请在冰点文库上搜索。
根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。
报警信息要分为不同的级别:
对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。
另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。
联动要求
入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!
进一步提升网络的安全性。
1.1.2方案设计
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。
当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
意攻击。
同时,入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
需要说明的是,ids是对防火墙的非常有必要的附加而不仅仅是简单的补充。
入侵检测系统作为网络安全体系的第二道防线,对在防火墙系统阻断攻击失败时,可以最大限度地减少相应的损失。
ids也可以与防火墙、内网安全管理等安全产品进行联动,实现动态的安全维护。
入侵检测系统解决的安全问题包括:
对抗蠕虫病毒:
针对蠕虫病毒利用网络传播速度快,范围广的特点,给用户网络的正常运转带来极大的威胁,通过防火墙端口过滤,可以从一定程度上防范蠕虫病毒,但不是最好的解决方案,特别是针对利用防火墙已开放端口(比如红色代码利用tcp80)进行传播的蠕虫病毒,对此需要利用入侵检测系统进行进一步细化检测和控制;
防范网络攻击事件:
正如入侵检测系统的安全策略中描述的,针对xx用户数据中心区域和网络边界区域,入侵检测系统采用细粒度检测技术,协议分析技术,误用检测技术,协议异常检测,可有效防止各种攻击和欺骗。
并且还能够通过策略编辑器中的用户自定义功能定制针对网络中各种tcp/ip协议的网络事件监控;
防范拒绝服务攻击:
入侵检测系统在防火墙进行边界防范的基础上,能够应付各种sna类型和应用层的强力攻击行为,包括消耗目的端各种资源如网络带宽、系统性能等攻击。
主要防范的攻击类型有tcpflood,udpflood,pingabuse等;
防范预探测攻击:
部署在总部数据中心区域和网络边界区域的入侵检测系统,能够很好的防范各种sna类型和应用层的预探测攻击行为。
主要防范的攻击类型有tcpsynscan,tcpackscan,pingsweep,tcpfinscan等;
防范欺骗攻击:
有些攻击能够自动寻找系统所开放的端口(比如安全服务区所开放的tcp80、tcp25),将自己伪装成该端口,从而绕过部署在数据中心
区域和网络边界区域边界的防火墙,对防火墙保护的服务器进行攻击,而入侵检测系统则通过对应用协议的进一步分析,能够识别伪装行为,并对此类攻击行为进行阻断或报警;
防范内部攻击:
对于总部局域网而言,内部员工自身对网络拥有相当的访问权限,因此对比外部攻击者,对资产发起攻击的成功概率更高。
虽然总部局域网在网络边界部署防火墙,防范外部攻击者渗透到网络中,但是对内部员工的控制规则是相对宽松的,入侵检测系统通过对访问数据包的细化检测,在防火墙边界防护的基础上,更好地发觉内部员工的攻击行为。
1.1.3产品功能与特点
网御星云入侵检测系统基于分布式入侵检测系统构架,采用网御星云独创的use统一安全引擎,综合使用模式匹配、协议分析、会话状态分析、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状态。
在入侵监控的基础上,遵循csc关联安全标准,可主动发包货与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创造全面纵深的安全防御体系。
产品优势
高效精准的入侵检测
网御星云自主开发的use统一安全引擎检测性能是普通检测引擎的3至5倍,百兆和千兆产品均可实现线速级的高性能处理。
综合运用了协议分析、协议重组、快速特征匹配和异常行为检测等方法,还包括以下核心技术:
并行数据采集的虚拟引擎技术:
探测器可虚拟成多个独立的探测引擎,可
分别应用不同的检测和响应策略;
虚拟探测引擎可多监听口协同采集数据,并汇聚分析检测。
安全策略预检的高效分流机制:
探测引擎对采集到的原始数据进行全局安
全策略的预判,对安全事件进行数据过滤,以达到提高检测性能,降低误报率。
深度内容检测的应用分析算法:
综合采用智能ip碎片重组和智能tcp流
会话重组技术,基于行为的内容深度检测算法,有效地改善了许多ids普
遍存在的高误报,高漏报问题;
通过对会话内容进行存储,可实现多种应用报文的事后回放。
方便灵活的智能管理
基于leadsec安全管理系统的统一管理控制,可实现集中监管、分级部署的多级分布式ids管理体系,完成安全策略的制定和分发,建立安全信息的全局预警机制,全面符合中国国情的行政管理模式。
还包括以下独特的管理优势:
?
网络流量精准检测:
实时记录并图形化显示当前正常和异常的网络流量和会话数;
真实反映当前探测器处理能力,客观显示丢包数量,为设备科学合理部署提供依据。
异常问题快速定位:
利用主机异常流量快速定位和事件关联分析等功能,实现病毒爆发预警;
基于ip/mac地址捆绑功能,可快速定位网关地址盗用。
关键服务重点监控:
针对关键服务器可自定义事件特征、修改已有规则阈值,制定针对性的个性化检测策略,并实时监控服务运行状态,对针对性的攻击实现报警响应和阻断。
实时安全的联动响应
实时的主动阻断:
探测器能主动发送rst包切断攻击会话,满足了实时阻断攻击的需求。
多样的联动响应:
遵循csc关联安全标准,实现与防火墙、路由器等设备联动,实现与leadsec安全管理系统融合,从而组成强大的自动联合防御体系,解决了入侵检测信息孤岛问题。
篇二:
×
酒店项目ids系统方案-20150619-v1.0
**省**市**酒店
多媒体信息发布系统
技术方案
二零一五年六月
目录
第一章公司介绍.....................................................................................................................4
1.1公司简介...................................................................................................................4
1.2企业资质...................................................................................................................4
1.3why禾麦...................................................................................................................5第二章概述.............................................................................................................................6
2.1系统简介...................................................................................................................6
2.2需求背景...................................................................................................................6
第三章系统场景应用(根据项目实际情况编制).............................................................7
3.1酒店大堂...................................................................................................................7
3.2宴会厅.......................................................................................................................8
3.3餐厅...........................................................................................................................9
3.4会议室.....................................................................................................................10
3.5电梯厅.....................................................................................................................10
3.6电梯轿厢.................................................................................................................11
3.7触摸查询.................................................................................................................12
第四章系统结构...................................................................................................................14
4.1系统物理拓扑图.....................................................................................................14
4.2系统拓展规划.........................................................................................................15
第五章系统功能...................................................................................................................21
5.1remotemultimedia系统功能.................................................................................21
5.2触摸查询系统功能.................................................................................................29
第六章系统特点...................................................................................................................31
第七章产品参数...................................................................................................................33
7.1播控工作站.............................................................................................................33
7.2流媒体服务器.........................................................................................................34
7.3视频采集卡.............................................................................................................35
7.4多媒体控制器.........................................................................................................36
7.5led专用控制器.......................................................................................................37
7.6音/视频分配器........................................................................................................39
7.7音视频信号收发器.................................................................................................40
7.8触摸查询一体机.....................................................................................................41
7.9立式显控一体机.....................................................................................................43
第八章系统实施及服务保障...............................................................................................45
8.1系统实施环境部署.................................................................................................45
8.2五步实施方法.........................................................................................................46
8.3现场服务.................................................................................................................47
8.4服务保障.................................................................................................................48
第九章部分案例...................................................................................................................50
第一章公司介绍
1.1公司简介
禾麦科技开发(深圳)有限公司成立于2002年,公司类型为港资企业,总部位于中国深圳。
作为国家高新技术企业与深圳市高新技术企业,禾麦持续专注于多媒体技术领域,并在该领域研发了系列的多媒体产品及配套的主要系统解决方案,具有系列自主开发能力和大的市场份额,处于行业中的领先地位。
公司目前在全国已设立28个办事处,其中分别在香港、深圳、上海、北京、成都、长沙设立了公司运营中心,技术支持服务覆盖全国主要城市。
1.2企业资质
1.3why禾麦篇三:
深入理解ids,ips的工作原理和机制
ids,ips的工作原理和机制
本文首先分别介绍了入侵检测机制ids(intrusiondetectionsystem)和入侵防御机制ips(intrusionpreventionsystem)的工作原理和实现机制。
然后深入讨论了ids和ips的区别和各自的应用场景等。
概述
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。
入侵检测技术(ids)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
绝大多数ids系统都是被动的,而不是主动的。
也就是说,在攻击实际发生之前,它们往往无法预先发出警报。
而ips则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
ips是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在ips设备中被清除掉。
ids
基本定义
尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
做一个形象的比喻:
假如防火墙是一幢大楼的门锁,那么ids就是这幢大楼里的监视系统。
一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
ids的起源
入侵检测的原理
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
这个检测过程是不断循环进行的。
而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
入侵检测的通信协议
ids系统组件之间需要通信,不同的厂商的ids系统之间也需要通信。
因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。
ietf目前有
一个专门的小组idwg(intrusiondetectionworkinggroup)负责定义这种通信格式,称作intrusiondetectionexchangeformat。
目前只有相关的草案,并未形成正式的rfc文档。
尽管如此,草案为ids各部分之间甚至不同ids系统之间的通信提供层协议,其设计多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。
入侵检测的分类
按入侵检测的手段、ids的入侵检测模型可分为基于网络和基于主机两种。
基于主机模型。
也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。
其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。
这种模型有以下优点:
一是性能价格比高:
在主机数量较少的情况下,这种方法的性能价格比可能更高。
二是更加细致:
这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中发现。
三是视野集中:
一旦入侵者得到了一个主机用户名和口令,基于主机的代理是最有可能区分正常的活动和非法的活动
升级会员 