需求分析


随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。那么哪些地方存在威胁?存在什么威胁?如何进行入侵检测(IDS)?如何消除威胁规避风险?成了摆在我们面前的现实任务。

 

产品简介

产品简介


天阗入侵检测与管理系统(IDS)是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。

该产品在精确检测的基础上强调对威胁的可管理性(如:威胁分析、威胁处理),尤其是对可能产生的大量事件进行了智能过滤,仅向使用者展示真正需要关注的威胁,在减轻使用者工作量的同时,保障威胁处理的及时性。

 

功能特点

  • 组织化威胁管理

  • 威胁分析与处理帮助

  • 面向安全结论的报表

  • 智能报警分析与过滤

  • 全面用户上网行为监控

  • 具备智能流量分析能力

  • 精确的Web威胁检测

  • 全面精确的威胁发现

 

技术优势

  • 事件日志与策略自动优化

    根据用户的安全态势及发生频率识别垃圾事件,并进行策略优化处理。

  • 简单威胁管理

    采用去技术化的向导对威胁进行分析和处理,降低了使用者的维护工作量。

  • 智能威胁分析

    能够对上报的事件进行关联分析,识别出重要报警,提醒用户关注。

  • 全面威胁检测

    对常见的网络威胁、异常流量等攻击行为能够准确高效的检测。

 

典型应用


在不同的环境下,使用新一代天阗入侵检测与管理系统(IDS)可以实现多种解决方案。根据检测的需要,可以快速、灵活部署在网络核心、网络边界、分支机构等不同的位置。并且,根据企业的不同规模,可以采用不同的部署与管理方案。


小型网络扁平化管理方案


对于小型网络,由于规模比较小,结构相对扁平,从简化管理的角度来讲,适合采用简单的扁平化部署与管理方案。这种环境下,往往只需部署一台检测引擎,采用单级管理的模式,根据管理策略的需要,可以选择采用“虚拟引擎”的划分,对网络采用分对象的虚拟化管理(在实际环境中,虚拟化管理非常少见),一般来说,在小型网络环境中,采用“单机引擎 + 单级管理 + 单一策略”是最常见的情况。


中型网络对象化管理方案


对于中型网络,其特点是组织规模相对较大,网络环境相对复杂,主机数量相对较多,在这种网络环境下,不宜直接采取扁平化简单管理的方法。为了便于网络的威胁管理,通常“分区监控 + 监测对象划分 + 多点部署”的方案进行切割威胁管理:


分区监控:对于不同区域网络采用不同的设备进行监控。


监测对象化分:将同一区域内的不同主机/网段,采用虚拟化(虚拟引擎)的方式进行逻辑对象划分,比如:将办公网按照网段划分成不同的部门,将生产网根据不同的服务器地址划分成不同的业务等,这样划分之后,被监控对象(服务器、网段)便被映射成了资产,这种映射更利于中型网络环境下的威胁管理。


多点部署:因为采用了分区监控的方式,因此在部署上就需要在多个流量汇聚节点部署多台设备,采用集中管理的方式进行威胁管理。


4大型网络层级化管理方案


对于大型网络,其特点是组织规模大,网络环境复杂,主机数量多,除了划分成多区域网络之外,还可能存在分支机构,并且分支机构之间也可能存在着层级关系。对于这种大型网络,为了便于威胁管理,一般采用节点分治的方案加以解决。

具体来说就是:“节点内部根据网络规模采取简单扁平化或分区监控 + 节点之间采用数据流自底向上,控制流自底向下的集中管理”,同时,根据各个分治节点内部的情况,可以选择采用虚拟化(虚拟引擎)的方式将监控区域进一步映射成资产。


层级分治:将不同的分支节点映射成不同层级上的独立管理节点


集中管理:将不同分治节点的威胁数据按照层级关系逐层上报,并在总控(根节点)进行威胁的集中管理。同时总控也可以根据需要对下级的分治节点进行策略下发、添加组件、系统升级等维护工作。


产品型号

NT3000-SW-J

产品规格

标准2U机架式设备,配置4个千兆电口和4个SFP千兆光口,1个接口扩展槽位,冗余电源

产品性能

实际网络环境处理能力1Gbps,并发连接数100万,每秒新建连接数2万

产品功能

报文识别:能够对通用以太网报文、VLAN报文、MPLS 报文、IP层报文、TCP/UDP报文、ICMP报文、L2TP/PPTP隧道报文、IPsec隧道报文进行检测识别

提供6000条有效攻击特征,并根据协议类型、安全类型、流行程度、影响设备等方式做有效分类

特征匹配:对网络流量进行特征匹配,可将符合特征的流量进行匹配,并生成告警信息

规则自定义:支持用户自定义规则,可根据新发现的攻击特征编制检测规则,支持按照协议固定位置、浮动位置及其组合等编制检测规则,支持正则表达式

攻击检测:支持检测SQL注入、Webshell上传连接、Struts2远程代码执行、MS漏洞、木马后门、拒绝服务、缓冲溢出、蠕虫病毒等,针对SQL注入等WEB型攻击行为,在告警日志中显示响应状态码

事件报警:详细展示报警信息,包括IP地址、端口、返回信息、规则ID等

事件溯源:提供告警分析池,存储可疑告警事件。并将分析过程以案件的形式进行管理,可详细追溯、分析告警,供后续跟踪、分析、总结

功能扩展:在不改变设备形态、架构的前提下,能够快速扩展各类安全功能,如网络审计、web防护、流量采集分析等,支持各类安全功能组合应用及回滚在不改变设备形态、架构的前提下,支持扩展第三方厂商安全防护功能以及未来可能新增的安全功能

设备联动:支持与网御星云品牌防火墙、UTM、下一代防火墙等设备联动

管理要求:符合GCB007-2017《安全审计服务规范》、GCB010-2017《安全管理接口技术要求》的相关要求


产品型号

NT10007-HD-JH

产品规格

标准2U机架式设备,冗余电源,配备2个千兆带外管理口、2个万兆光口,4个千兆电口,4个千兆光口

产品性能

实际网络环境处理能力8Gbps,最大并发连接数400万,每秒新建连接数8万

产品功能

提供攻击检测基础能力,能针对IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析等进行识别与分析,提供非默认端口服务协议识别与协议分析能力

支持常见协议解析,包含ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备

支持抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范

提供6000条有效攻击特征,并根据协议类型、安全类型、流行程度、影响设备等方式做有效分类

提供最近24小时内网络发生事件的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示

具备对针对Web系统的攻击具备检测能力,能够提供SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力

具备协议自识别功能,具备规则用户自定义功能,能够对应用协议进行用户自定义,并提供详细协议分析变量

提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,提供对统计阈值进行设定的图形化用户接口

提供威胁实时展示,可展示内容包括威胁名称、威胁处理状态、威胁等级、流行程度、源IP、目标IP、发生时间段、发生次数等

提供历史事件查询,能自定义条件对历史告警事件进行查询,提供3种查询模板,并支持查询模板创建

支持攻击原始报文捕获

支持与网御星云品牌防火墙、UTM、下一代防火墙等设备联动

符合GCB007-2017《安全审计服务规范》、GCB010-2017《安全管理接口技术要求》的相关要求












用户价值

天阗入侵检测与管理系统(IDS)是一款智能化的入侵检测系统,用智能算法,快速过滤掉海量的低质量报警事件;用资产关联算法,使系统展示出来的事件数量大幅减少;用代码优化技术,提升检测处理性能等等,旨在帮助用户,快速定位网络威胁、聚焦重点事件、降低管理难度。运用可视化技术手段、独有的智能算法,把复杂的网络威胁检测的问题变得更加直观有效。通过准确的日报、周报、月报,实现每一条结论都有据可查。从定量分析到定性分析为用户提供准确的、客观的网络安全建设建议。

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30