20090904_天阗主打胶片.ppt

回顾中国IDS历史 IDS在中国 起源：抓“黑客”; 发展：入侵检测到威胁检测 IDS面临新需求 从异常中分析威胁 系统化的操作指导 IDS实际应用中的价值发挥 IDS实际应用中的价值发挥 解决问题，有效控制病毒传播 措施1：禁止威胁扩散 从风险管理看IDS威胁管理 深入认识IDS价值 IDS如何发挥应有价值 全面检测威胁面临的挑战之一 监测异常网络数据量要求全面 黑客扫描：固定源，目标无序 拒绝服务攻击：固定目标，源无序 检测对象覆盖要求全面 面向多级网络 面向复杂网络 数据检测完整性保证 计算机数量和网络的发展 摩尔定律 全世界因特网流量每6个月翻一番 一年内因特网上网用户翻两番 小结-全面的威胁检测要求 有效呈现威胁的诸多要求 全面和有效体现IDS核心价值 全面检测之一：协议分析 单、多因子相结合的识别方式（专利技术） 不仅依赖于RFC标准参数 深入了解协议本质，提取协议特征 全面检测之一：协议分析 非标准协议伺服器 协议“柜子” 可灵活增加协议而不影响架构 针对不同协议采用相应的分析模块 全面检测之二：流量检测 全面检测之三：攻击识别 抗躲避能力 超过12种常用躲避方法检测 支持攻击还原、编码拟态识别 攻击识别能力 支持会话内/间关联识别复杂攻击 基于漏洞机理的攻击识别复杂 支持多达20个的逻辑操作 支持正则表达式 …… 全面检测之三：攻击类型识别全面 攻击类型包括： 缓冲区溢出攻击 网络数据库攻击 网络设备攻击 安全扫描 木马后门 间谍软件 拒绝服务与分布式拒绝服务 蠕虫病毒 CGI访问/攻击 网络娱乐 安全漏洞 穷举探测 脆弱口令 …… 全面检测之四：检测机制全面 融合基于特征和基于原理的两种检测方法： 提升变形攻击识别能力 提升对新攻击应变能力 提升精确检测覆盖面 提升抗躲避能力 提升扩充能力 全面检测之五：组网能力全面 全面检测之五：大规模部署 多级管理 统一策略下发 统一报警上传 统一规则升级 统一报表生成 全局事件预警 …… 全面检测之六：检测性能 高速环境下的线速检测-保证无丢包 有效呈现之一：精确报警 “IDS的报警信息太多了，根本看不过来” ——安全管理员 有效呈现之二：详尽描述 “看到报警应该怎么处理？” 有效呈现之三：关联定位 有效呈现之四：详细事件处理指导 事件呈现 拓扑 报警 有效呈现之五：多种呈现方式 多种报表-有效归纳总结 展现形式 展现内容 有效呈现之五：自动及时升级 天阗IDS的“第一” 连续六年国内IDS市场份额第一 多年市场成功销售，保证产品持续发展 客户遍布全行业，树立良好的用户口碑 销售全过程体系成熟：销售、售前、售后以及商务经验传承 多次权威测评产品排名第一 最全面的资质认证，国际CVE产品兼容证书 各种专利技术保证产品检测能力和性能领先 IDS领域的技术先驱 出版中国最早普及入侵检测知识的书籍 中国第一个硬件IDS产品 第一个千兆IDS产品 第一个IDS多级分布式部署 第一个基于拓扑的管理 第一个入侵定位系统 第一个与漏洞扫描相结合的风险评估系统 强大的技术支撑体系 最早的博士后工作站 攻防研究团队AD－Lab 可查看微软源代码，CNCVE的首席合作伙伴 和CNCERT的合作，最新的安全事件收集 天阗是国内最好的IDS 天阗入侵检测与管理系统 综合管理，易用、易查－用户权限管理 综合管理，易用、易查－策略配置管理 综合管理，易用、易查－用户自定义 综合管理，易用、易查－报表分析 面向对象的虚拟引擎 一机多用 定义实时显示 全面易用的报表分析 基于拓扑的显示和管理 历史日志备份 多样化的日志维护和分析手段 规则和产品升级 智能化的升级模式 精准的入侵事件定位 实现入侵威胁预警 结合资产的风险评估 成功案例 某市政府跨地域三级威胁风险管理方案 用户需求 “12金工程”的推进，某市构建了纵向到底，横向到边的政府信息化网络平台，政府审批和服务项目可以在网上进行。 由于建设初期对于网络安全考虑的不足，一些安全隐患暴露出来，给网络黑客和各种病毒以可乘之机。 某市政府在推进信息化建设的过程中，意识到网络安全风险管理的重要性，需要在全市各区县实现统一的安全监测和风险管理。 部署方案 市、区、县网络节点部署了13套天阗入侵检测与管理系统 成功案例 解决问题 从底层（县）到中层（区）集中到市的三级网络安全监控结构，实现了对全网各分支的全面威胁管理 ； 天阗提供了强大的自定义管理能力，弥补了各级技术人员的投入以及技术实力的参差不齐；