联想网御入侵检测系统(以下简称“IDS”)基于分布式入侵检测系统构架,采用联想网御USE统一安全引擎,综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。在入侵监控的基础上,遵循CSC关联安全标准,可主动发包或与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创建了全面纵深的安全防御体系。
产品组成
联想网御IDS由控制台软件和探测器两部分组成。
探测器:探测器实现对网络数据包的收集,然后依据检测规则进行分析,从而发现入侵攻击事件,同时实时向控制台传送报警信息和事件过程记录。依据探测器处理能力的不同IDS分为百兆和千兆两大系列多款机型。
控制台:控制台软件安装于主机平台上构建IDS控制台。可对一个或多个探测器进行规则策略配置、运行状态监视、事件日志记录及管理;提供丰富的统计图表显示和简洁翔实的日志管理;对检测出的违反安全策略的事件,提供多种报警和阻断方式。
产品优势
高效精准的入侵检测
联想网御自主开发的USE统一安全引擎检测性能是普通检测引擎的3至5倍,百兆和千兆产品均可实现线速级的高性能处理。综合运用了协议分析、协议重组、快速特征匹配和异常行为检测等方法,还包括以下核心技术:
并行数据采集的虚拟引擎技术:探测器可虚拟成多个独立的探测引擎,可分别应用不同的检测和响应策略;虚拟探测引擎可多监听口协同采集数据,并汇聚分析检测。
安全策略预检的高效分流机制:探测引擎对采集到的原始数据进行全局安全策略的预判,对安全事件进行数据过滤,以达到提高检测性能,降低误报率。
深度内容检测的应用分析算法:综合采用智能IP碎片重组和智能TCP流会话重组技术,基于行为的内容深度检测算法,有效地改善了许多IDS普遍存在的高误报,高漏报问题;通过对会话内容进行存储,可实现多种应用报文的事后回放。
联想网御IDS虚拟引擎入侵检测处理流程图
方便灵活的智能管理
基于Leadsec安全管理系统的统一管理控制,可实现集中监管、分级部署的多级分布式IDS管理体系,完成安全策略的制定和分发,建立安全信息的全局预警机制,全面符合中国国情的行政管理模式。还包括以下独特的管理优势:
网络流量精准检测:实时记录并图形化显示当前正常和异常的网络流量和会话数;真实反映当前探测器处理能力,客观显示丢包数量,为设备科学合理部署提供依据。
异常问题快速定位:利用主机异常流量快速定位和事件关联分析等功能,实现病毒爆发预警;基于IP/MAC地址捆绑功能,可快速定位网关地址盗用。
关键服务重点监控:针对关键服务器可自定义事件特征、修改已有规则阈值,制定针对性的个性化检测策略,并实时监控服务运行状态,对针对性的攻击实现报警响应和阻断。
实时安全的联动响应
实时的主动阻断:探测器能主动发送RST包切断攻击会话,满足了实时阻断攻击的需求。
多样的联动响应:遵循CSC关联安全标准,实现与防火墙、路由器等设备联动,实现与Leadsec安全管理系统融合,从而组成强大的自动联合防御体系,解决了入侵检测信息孤岛问题。
