联想网御入侵检测系统基于分布式入侵检测系统构架,采用联想网御USE统一安全引擎,综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。在入侵监控的基础上,遵循CSC关联安全标准,可主动发包或与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创建了全面纵深的安全防御体系。
高效精准的入侵检测
联想网御自主开发的USE统一安全引擎检测性能是普通检测引擎的3至5倍,百兆和千兆产品均可实现线速级的高性能处理。综合运用了协议分析、协议重组、快速特征匹配和异常行为检测等方法,还包括以下核心技术:
并行数据采集的虚拟引擎技术:探测器可虚拟成多个独立的探测引擎,可分别应用不同的检测和响应策略;虚拟探测引擎可多监听口协同采集数据,并汇聚分析检测。
安全策略预检的高效分流机制:探测引擎对采集到的原始数据进行全局安全策略的预判,对安全事件进行数据过滤,以达到提高检测性能,降低误报率。
深度内容检测的应用分析算法:综合采用智能IP碎片重组和智能TCP流会话重组技术,基于行为的内容深度检测算法,有效地改善了许多IDS普遍存在的高误报,高漏报问题;通过对会话内容进行存储,可实现多种应用报文的事后回放。
方便灵活的智能管理
基于Leadsec安全管理系统的统一管理控制,可实现集中监管、分级部署的多级分布式IDS管理体系,完成安全策略的制定和分发,建立安全信息的全局预警机制,全面符合中国国情的行政管理模式。还包括以下独特的管理优势:
网络流量精准检测:实时记录并图形化显示当前正常和异常的网络流量和会话数;真实反映当前探测器处理能力,客观显示丢包数量,为设备科学合理部署提供依据。
异常问题快速定位:主机异常流量快速定位、IP/MAC地址捆绑和事件关联分析等功能,辅助网管员快速解决病毒爆发预警和网关地址盗用快速定位等问题。
关键服务重点监控:针对关键服务器可自定义事件特征、修改已有规则阈值,制定针对性的个性化检测策略,并实时监控服务运行状态,对针对性的攻击实现报警响应和阻断。
实时安全的联动响应
实时的主动阻断:探测器能主动发送RST包切断攻击会话,满足了实时阻断攻击的需求。
多样的联动响应:遵循CSC关联安全标准,实现与防火墙、路由器等设备联动,实现与Leadsec安全管理系统融合,从而组成强大的自动联合防御体系,解决了入侵检测信息孤岛问题。
