某科技公司入侵监测系统技术白皮书(编辑修改稿)

某科技公司入侵监测系统技术白皮书(编辑修改稿)内容摘要：

nalyzer)、 Inter 访问控制 (网关管理 )等模块。 12 个独立的功能模块： ① . 流量分析 (Traffic Analyzer) 分析通信流量，可提供进 /出流量使用比率，对数据包大小 /协议 /服务的使用比率分析来发现异常。 ② . 协议分析 (Protocol Analyzer) 分析相应协议如 IP/ICMP/IGMP/UDP/TCP 的结构和数据包构造，能够进行完备的协议分析。 ③ . 数据包碎片重组分析 (Fragment Analyzer) 根据网段的 MTU 分解 /组合数据包， ④ . 会话流包分析 (Stream Analyzer) 组合基于会话的数据，可对会话中的数据进行记录，进一步的分析，发现异常或受控数据。 ⑤ . 多形态分析 (Polymorphic Analyzer) 分析多种形式攻击，如 shell代码转换成很多不同类型，通过这种变形的攻击。 ⑥ . 监控异常行为 (Traversal Analyzer) 基于 IDS 的模式库包含路径的事实 ,为分析迂回 IDS 的攻击使用特别服务 ,允许相关路径追踪目录。 ⑦ . HTTP(WEB)剖析分析 (HTTP Parser) 根据 RFC 的 HTTP 协议版本的结构，对 HTTP 数据进行分析，防止基于 WEB 的攻击。 ⑧ . HTTP(WEB)编码分析 (HTTP Normalizer) 基于在 IDS 一个模式库只包含一个编码 ,为分析迂回 IDS 的攻击 ,使用使用 HTTP 协议的特别服务 ,允许以很多不同类型编码，防止基于 WEB 的攻击。 6 ⑨ . 拒绝服务 (DOS)监控 (DOS Analyzer) 在一个时间单元内流量超出设置的数据包个数被认为异常行为，可用于分析由于网络拥挤拒绝服务现象。 ⑩ . 基于异常的扫描检测 (VSCAN Analyzer) 分析在一个时间单元内访问多个端口的行为。 ⑪. 基于异常的扫描检测 (HSCAN Analyzer) 分析在一个时间单 元内多个系统试图访问一个端口的行为。 ⑫. 网关管理 (Gate Keeper) 通过网关管理，控制互联网访问、服务访问、互联网过滤和防止信息泄露。 2. 多引擎检测 PLMMIDS 收集分析网络数据包的入侵检测引擎以线程方式来实现。 通过基于网络流量和 IT 系统考虑的系统以及检测规则优化，可根据监控流量来决定引擎线程，改善性能设置。  多线程负载平衡 : 根据系统性能和网络带宽设置检测引擎线程个数分布 IDS 负载 ,使得改善入侵检测性能。  优化的规则 : 为有效搜索 IDS 检测模式库，维护三维的树形结构 ,改善入侵检测性能。 3. 多种检测方法 PLMMIDS 设计成根据攻击类型的功能分类来操作检测引擎 ,提供多种检测方法，及时、正确地检测入侵 ,防止不必要的系统资源使用。 入侵检测引擎地分类地功能如下 : ① . 普通检测 为检测误用分析，需要有一个强大的模式检测库。 PLMMIDS 提供 1700个入侵模式库。 ② . 特征检测 为检测异常行为，分析特殊类型的攻击例如多形态 (Polymorphic)、双字节编码(Unicode)和 Traversal，改善检测可靠性，对 IDS 迂回攻击提供优化的对策。 ③ . 单个检测 (Stateless Inspection) 为加强高速网络的稳定性能提供基于单个数据包的入侵检测，分析基于非会话的数据包。 适合于处理高速网络。 7 ④ . 状态检测 通过碎片整理 /重新组合基于 TCP 会话的通信分析数据包流，用于改善检测可靠性提供基于会话的入侵检测。 ⑤ . 流量异常检测 为检测网络流量分布的异常使用拒绝服务 (DOS)或扫描 (SCAN)分析，可侦测出最新攻击或未知模式库的攻击 ,为检测入侵分析流量统计。 ⑥ . 协议异常检测 为入侵检测分析通信协议例如 IP, ICMP, UDP, TCP,ARP 等。 分析应用层协议例如 HTTP, SMTP, TELNET,FTP 等。 改善入侵检测性能和可靠性，过滤违反通信包通常配置规则的异常数据包。 4．智能事件响应 PLMMIDS在事件响应方面，提供主动响应 (Reset)、被动响应 (Email、 SMS、第三方安全产品联动 )两种模式，在响应机制方面，提供了智能响应机制，降低了误报率 ,提供很多优化的响应。 智能响应机制的特征如下 :  根据入侵类型提供优化的基本响应策略 为改善管理效率提供基于攻击的风险和特征的优化的基本响应策略。  完全响应机制的扩展框架 保利龙马开放式的结构，可与第三方的安全产品很容易进行联动，以保护受保护的目 标网络。  根据目标操作系统提供策略模板 可根据受保护的网络中的目标主机的操作系统定制策略，分析目标主机的操作系统特征，判断入侵，可以在很大程度上减少误报，改善响应能力的可靠性。 5. 多代理管理 PLMMIDS。