入侵检测IDS
需求分析
随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。那么哪些地方存在威胁?存在什么威胁?如何进行入侵检测(IDS)?如何消除威胁规避风险?成了摆在我们面前的现实任务。
产品简介
产品简介
天阗入侵检测与管理系统,即IDS,是启明星辰公司推出新一代入侵检测产品。实时发现、记录、统计和分析网络中的安全事件,结合地址定位等手段确定威胁来源,向用户提供详细、可操作的事件处理指导意见,指导用户调整网络安全策略和防护手段;同时通过对历史数据的分析,可检验网络安全整体水平,度量安全建设的效果。
产品功能
产品特性
全面协议分析:天阗入侵检测与管理系统支持协议自识别与协议插件技术,可准确识别采用非常规端口的协议和新型协议。
全面检测机制:天阗入侵检测与管理系统支持基于特征和基于原理的两种检测方式,在保障检测精度的基础上,扩大了检测可识别的范围。
全面事件分析:启明星辰有一套业界最完善的后继服务支撑体系,确保对新型事件的快速准确响应,此外还提供高端用户自定义事件接口,完善定制化客户需求。
全面检测性能:天阗入侵检测与管理系统采用最短时间优先算法,确保了产品在网络数据高负载情况下的检测效率,可满足百兆、千兆、万兆网络环境下的检测要求。
精确报警信息:天阗入侵检测与管理系统结合了环境指纹技术,在发现有攻击行为后,与存储的环境信息进行二次匹配,将那些能够确信为“有用”的报警信息单独呈现,减少用户的分析操作消耗。
详尽信息呈现:天阗入侵检测与管理系统的报警信息除了包括事件的双方的地址、协议等信息外,还包括了对事件的具体描述:漏洞信息、修补建议、影响系统等。可以将最细致的事件信息呈现给用户。
威胁地址定位:天阗入侵检测与管理系统提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下,可以将设备拓扑与地理拓扑相结合,使得管理员可以直观而迅速的判断威胁所在。
丰富报表展现:天阗入侵检测与管理系统提供基于时间、地址、事件等多重参数信息的分析报表,结合历史分析数据,可清晰展现安全建设发展趋势,协助考量网络安全建设水平。
产品规格
产品名称 | 天阗入侵检测与管理系统 |
型号 | NT3000-HD-3017M |
品牌 | 启明星辰 |
产地 | 北京 |
基本配置 | (1)1U上架设备,1个RJ-个 Console口,6个10/100/1000 Base-T接口,2个USB口,2个千兆光接口插槽,2个万兆光口插槽,支持2个扩展插槽,冗余电源。 (2)硬盘:2T,内存:16G。 |
功能指标 | (1) 支持如下常见协议的解析:ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备。 (2) 支持全面的攻击检测能力,可检测常见的Web攻击、缓冲溢出攻击、安全漏洞攻击、安全扫描攻击、拒绝服务攻击、木马后门攻击、蠕虫病毒攻击、穷举探测攻击、CGI攻击等。 (3) 支持TCP协议攻击特征自定义,提供tcp_ack、tcp_fin、tcp_flag、tcp_payload、tcp_syn、tcp_urg、tcp_seq、tcp_rst等协议变量特征的自定义。 (4) 支持设置协议变量的操作符,操作符包括等于、不等于、包含、不包含。 (5) 支持对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整。 (6) 针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP (STREAM)FLOOD、针对特定主机的UDP FLOOD、针对特定主机的ICMP FLOOD;对上述所有攻击检测都可通过控制界面配置统计时间、报警阈值。 (7) 提供网关IP-MAC地址绑定的功能识别ARP地址欺骗攻击。 (8) 首页提供如下关键报警及汇总数据:24小时重点威胁事件汇总,并支持下钻查看具体攻击事件内容、24小时发生事件的Top5排名、今日流量曲线。 (9) 具备提取攻击原始报文的能力,针对产生的告警事件,可以对攻击行为的特征数据包进行提取,方便事件分析人员对攻击行为进行分析。 (10) 具备提取攻击原始报文的能力,针对产生的告警事件,可以对攻击行为的特征数据包进行提取,方便事件分析人员对攻击行为进行分析。 (11) 具备完善的流量告警能力,支持按照历史流量同期对比和设置流量阈值两种方式配置告警参数,告警级别包含偏低、偏高等多种类型。 |
性能指标 | (1) 整机吞吐量≥2Gbps。 (2) 最大并发连接数≥300W。 (3) 每秒新建连接数≥3W。 |
京公网安备11010802024551号