基于工作域的全新体系结构
安氏领信入侵检测系统-LinkTrust® IDSv7.2采用了多层的分布式结构,整个系统以工作域为组织核心,由传感器(sensor)、设备适配器(adapter)、数据收集和处理服务器(DCP)、日志服务器(Logserver)、数据库(DB)、管理控制台(console)、数据分析工具(DAT)和配置管理服务器(CMS)组成,每个组件协同工作,从而实现入侵检测系统数据收集、数据分析、事件响应和数据管理的功能,可以适应小规模网络到大型分布式网络的环境部署需求。
领先的入侵检测技术
LinkTrust® IDSv7.2采用了领先得入侵检测技术体系,该技术体系结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击。这三大技术构成了安氏领信入侵检测技术的基础,它显著地提高了入侵检测系统的性能,能够适应日益复杂的网络环境。这一技术体系还包括硬件加速包截获技术、基于状态的协议分析技术、应用层协议分析、应用层有限状态机技术、多端口智能关联和分析技术、鉴别非标准通信协议、基于目标操作系统指纹识别的智能IP碎片重组技术、开放的行为描述代码、开放的签名编写语言平台、基于漏洞存在的蠕虫检测技术、灵活的签名参数配置、反IDS逃避能力等。
新一代的检测技术体系可以为客户带来许多好处,包括:
l
显著地提高性能:协议分析技术充分利用通信协议结构,与模式匹配系统使用简单匹配相比,可以更快更有效的处理数据包和连接。
l
提高准确度:协议分析技术比一个非智能模式匹配的IDS系统有少得多的错误倾向和错误诊断。安氏领信入侵监测技术将命令解析(语法分析)技术与协议分析技术相结合,来模拟一个命令串的执行,从而在通信流到达操作系统或应用之前决定该通信流是否是恶意的。
l
灵活高效的攻击签名库:允许用户根据自己的需要自创建几乎任意的新的特征签名,配置为最适合自己的入侵检测系统。
l
较低的资源消耗:协议分析技术的高效性使网络传感器系统资源消耗大幅度降低,相反地,模式匹配技术则是非常消耗系统资源的。
