需求分析


随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。那么哪些地方存在威胁?存在什么威胁?如何进行入侵检测(IDS)?如何消除威胁规避风险?成了摆在我们面前的现实任务。

 

产品简介

产品简介


天阗入侵检测与管理系统(IDS:Intrusion Detection and managerment Systems)是启明星辰自主研发的威胁检测类产品,其主要作用包括如下几个方面:

● 量化威胁:实时发现、记录、统计和分析网络中的安全事件;

● 定位威胁:结合地址定位等手段确定威胁来源;

● 操作指导:向用户提供详细、可操作的事件处理指导意见,指导用户调整网络安全策略和防护手段;

● 效果评估:同时通过对历史数据的分析,可检验网络安全整体水平,度量安全建设的效果。

自2002年起,天阗入侵检测与管理系统就稳居中国IT安全市场入侵检测子市场占有率之首。

 

功能特点

  • 组织化威胁管理

  • 威胁分析与处理帮助

  • 面向安全结论的报表

  • 智能报警分析与过滤

  • 全面用户上网行为监控

  • 具备智能流量分析能力

  • 精确的Web威胁检测

  • 全面精确的威胁发现

 

技术优势

  • 事件日志与策略自动优化

    根据用户的安全态势及发生频率识别垃圾事件,并进行策略优化处理。

  • 简单威胁管理

    采用去技术化的向导对威胁进行分析和处理,降低了使用者的维护工作量。

  • 智能威胁分析

    能够对上报的事件进行关联分析,识别出重要报警,提醒用户关注。

  • 全面威胁检测

    对常见的网络威胁、异常流量等攻击行为能够准确高效的检测。

 

典型应用


在不同的环境下,使用新一代天阗入侵检测与管理系统(IDS)可以实现多种解决方案。根据检测的需要,可以快速、灵活部署在网络核心、网络边界、分支机构等不同的位置。并且,根据企业的不同规模,可以采用不同的部署与管理方案。


小型网络扁平化管理方案


对于小型网络,由于规模比较小,结构相对扁平,从简化管理的角度来讲,适合采用简单的扁平化部署与管理方案。这种环境下,往往只需部署一台检测引擎,采用单级管理的模式,根据管理策略的需要,可以选择采用“虚拟引擎”的划分,对网络采用分对象的虚拟化管理(在实际环境中,虚拟化管理非常少见),一般来说,在小型网络环境中,采用“单机引擎 + 单级管理 + 单一策略”是最常见的情况。


中型网络对象化管理方案


对于中型网络,其特点是组织规模相对较大,网络环境相对复杂,主机数量相对较多,在这种网络环境下,不宜直接采取扁平化简单管理的方法。为了便于网络的威胁管理,通常“分区监控 + 监测对象划分 + 多点部署”的方案进行切割威胁管理:


分区监控:对于不同区域网络采用不同的设备进行监控。


监测对象化分:将同一区域内的不同主机/网段,采用虚拟化(虚拟引擎)的方式进行逻辑对象划分,比如:将办公网按照网段划分成不同的部门,将生产网根据不同的服务器地址划分成不同的业务等,这样划分之后,被监控对象(服务器、网段)便被映射成了资产,这种映射更利于中型网络环境下的威胁管理。


多点部署:因为采用了分区监控的方式,因此在部署上就需要在多个流量汇聚节点部署多台设备,采用集中管理的方式进行威胁管理。


4大型网络层级化管理方案


对于大型网络,其特点是组织规模大,网络环境复杂,主机数量多,除了划分成多区域网络之外,还可能存在分支机构,并且分支机构之间也可能存在着层级关系。对于这种大型网络,为了便于威胁管理,一般采用节点分治的方案加以解决。

具体来说就是:“节点内部根据网络规模采取简单扁平化或分区监控 + 节点之间采用数据流自底向上,控制流自底向下的集中管理”,同时,根据各个分治节点内部的情况,可以选择采用虚拟化(虚拟引擎)的方式将监控区域进一步映射成资产。


层级分治:将不同的分支节点映射成不同层级上的独立管理节点


集中管理:将不同分治节点的威胁数据按照层级关系逐层上报,并在总控(根节点)进行威胁的集中管理。同时总控也可以根据需要对下级的分治节点进行策略下发、添加组件、系统升级等维护工作


产品优势


● 检测全面

- 内置6700种以上入侵检测规则;

- 内置专业的病毒检测引擎,具有百万级的病毒特征库;

- 内置专业的Web应用攻击检测引擎;

- 支持智能威胁检测与向导化的威胁管理功能;

- 支持ipv4及ipv6网络环境下的安全事件检测;

- 全面的上网行为监控,可识别IM、P2P、网游、炒股软件等网络应用检测。


● 部署灵活

- 隐蔽部署:监听口、通讯口分离,监听口不配置IP地址;

- 并行数据采集:支持TAP、非对称路由、高速网络环境等复杂部署;

- 多端口并行监听:创新的物理虚拟引擎技术,一台硬件可当多个设备用,节省用户投资;

- 组织化的威胁管理:海量数据以组织为单位进行归类;

- 分布式部署:支持设备分布式部署,集中管理;

- 级联部署:分级管理功能支持大型网络环境进行分层级联部署。分级部署时可自动获取下级管理中心引擎、探头配置信息,并能通过醒目颜色及时反馈运行状态;可实现上、下级之间全局消息发送、文件传输,实现全局信息共享。


● 响应丰富

- 报警通知:支持控制台实时显示、邮件、短信、SNMPV2c、V3、SNMP Trap、Syslog、自用户定义等多种报警方式;

- 关联报警:针对设定时间范围内来自相同或不同引擎的大量相同报警事件进行二次关联报警;

- 日志保存:支持大型数据库集中日志保存;

- 动态阻断:支持自动、手动发送TcpReset包动态切断会话;

- 外设联动:支持与国内主流的防火墙进行联动


产品功能列表



功能项

功能详细描述

攻击检测能力

综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、超7层应用协议(如:HTTP Tunnel)识别与分析;支持工作在非默认端口下的周知服务(如运行在8000端口下的Web Server)的协议识别与协议分析能力;

系统协议覆盖面广,支持ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等常见协议的解析;

设备具有抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范;

能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等各种攻击行为进行检测;

系统首页提供最近24小时内网络发生的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示;

系统需具备对针对Web系统(包括浏览器、服务器)的攻击具备检测能力:SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力;

系统提供对IM(即时消息)通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股;

系统提供完备的攻击特征库,能够针对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、SQL注入、XSS、Xpath、网页木马、钓鱼网站、Webshell、数据库攻击、网络设备攻击、可疑行为等6700种以上有效的网络攻击行为、异常事件以及网络资源滥用进行检测,并可根据协议类型、安全类型、流行程度、影响设备等方式做有效分类;

具备协议自识别功能,具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量;

系统需提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整;

系统具备针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP (STREAM)FLOOD、针对特定主机的UDP FLOOD、针对特定主机的ICMP FLOOD等拒绝服务攻击的检测能力;并可通过控制界面配置统计时间、报警阈值;

提供网关IP-MAC地址绑定的功能识别攻击;

系统提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件,可选择的条件组合包括口令长度、口令是否包含用户名、口令是否为数字和字母组合、口令是否全为数字或者字母等;

威胁展示能力

系统支持对威胁事件的闭环管理功能,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的闭环;提供威胁的实时展示能力,可以将引擎检测到的威胁在威胁展示界面进行实时显示,展示内容全面丰富,包括:事件名称、攻击者IP、被攻击者IP、攻击发生时间、事件级别、流行程度、攻击类型等;

系统具备提取攻击信息的能力,告警信息应包括攻击的事件名称、事件威胁等级、事件安全类型、事件攻击类型、事件流行程度、攻击的源IP、攻击的目的IP、源端口、目的端口、攻击发生的时间、事件CVE编号等信息;

系统首页提供如下关键报警及汇总数据:重点威胁的今日发生情况、历史日均发生情况、今日发生事件的Top5事件、今日流量曲线;

报表功能

系统提供完善的报表系统,能辅助用户分析一段时间内的威胁;

在检测到攻击行为时,攻击告警日志中能够显示该攻击行为的相关字段信息,包括事件级别、事件安全类型、事件攻击类型、事件流行程度、事件名称、事件源IP、事件目的IP、事件发生的时间、事件ID、事件协议类型;

系统支持事件名称+目的地址+源地址;事件名称+源地址+目的地址的三维交叉报表,能辅助用户快速定位问题;

提供完善的报表系统,支持面向安全结论的分析报表;报表支持如下格式:HTML、PDF、EXCEL、WORD,所生成的报表可以自动发送到多个邮箱,能辅助用户查阅;

报表支持手动立即执行、周期性自动执行两种执行方式;

违规互联

支持对流量互联关系的实时监控,流量监控包括端口、服务、IP不同维度的可视化展示;互联关系包括安全域、境内、境外的拓扑图或地图展示。

支持对流量的互联分析,并可对流量进行多维度的展示,包含:互联类型、源IP、目的IP、目的端口、传输协议、服务名称、连入/连出、源MAC地址、目的MAC地址、流量、连接总时长、频次、平均连接时长等;并支持互联分析的导出;

支持违规互联查询结果归并展示,归并条件包括IP地址、端口、协议、服务、IP地址分组、归属地等;支持违规互联查询结果排序,排序条件包括IP地址、流量、频次等;支持违规互联查询结果导出。



产品规格


1.png


参数列表


项目

NT3000

处理能力

4G

最大并发连接数

300万

默认接口

4个千兆电口,4个千兆光口

尺寸

2U机架式硬件设备

联动能力

支持与防火墙或安全网关进行联动防护

功能参数

支持对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力

兼容能力

可通过安全管理平台对SNMP或Syslog等方式采集来的数据进行统一管理

电源

双冗余220V交流电源;

用户价值

天阗入侵检测与管理系统(IDS)是一款智能化的入侵检测系统,用智能算法,快速过滤掉海量的低质量报警事件;用资产关联算法,使系统展示出来的事件数量大幅减少;用代码优化技术,提升检测处理性能等等,旨在帮助用户,快速定位网络威胁、聚焦重点事件、降低管理难度。运用可视化技术手段、独有的智能算法,把复杂的网络威胁检测的问题变得更加直观有效。通过准确的日报、周报、月报,实现每一条结论都有据可查。从定量分析到定性分析为用户提供准确的、客观的网络安全建设建议。

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30