| 检测能力 |
| 国际上最全面的攻击特征模式库 |
系统内置BD-CNCVE攻击特征模式库,兼容国际CVE标准,规则条数>2800条,可以细粒度检测各种入侵攻击企图。并且其中的攻击模式库也在不断地升级、更新。 |
| 基于资产风险管理的智能关联检测技术 |
系统先对保护的网络资源及其存在的特定脆弱性进行全面的检测、调查、存档,再与检测引擎传送回来的入侵报警信息进行关联分析,剔除各种误报信息,并根据资产的重要性对有效的警报进行更准确的评估。 |
| 实时检测基于服务的攻击 |
提供了专门检测模块,分析针对基于服务协议的攻击行为。主要的服务有HTTP、FTP、TELNET、SMTP、MS SQL、DNS等。 |
| 创新技术 |
综合应用会话分析、智能协议分析、异常状态检测等先进的检测技术。 |
| 网络入侵阻断 |
系统可以阻断对特定服务器的访问或来自特定用户的服务。 |
| 保护SSL加密 |
通过解码基于SSL加密的通讯数据,分析、检测基于SSL加密通讯的攻击行为,从而可以保护内部重要的提供SSL加密的服务器的安全性。 |
| 防IP(碎片)欺骗检测功能 |
本系统具有MAC绑定技术,它可以将IP地址和网卡的硬件地址绑定起来,防止IP欺骗。能对所监视网络中的IP碎片报文重组后进行分析,防止IP碎片欺骗。 |
| 违规行为检测功能 |
用户可以定义一些规则,监控内部网络各主机间的连接,保护一些重要的主机和服务器,对违反规定或不应该出现的连接,即使还没发生攻击,系统也会进行报警。支持对未授权外联行为的检测。 |
| 强大的病毒(蠕虫)检测能力 |
强大的病毒(蠕虫)检测隔离能力。内置有500多条蠕虫检测规则,可实时检测各种蠕虫。同时通过异常检测技术能成功检测新蠕虫。 |
| 快速的蠕虫隔离能力 |
如检测到有被蠕虫感染的主机,主机代理检测客户端软件还会自动进行蠕虫病毒隔离,防止病毒感染其它主机,但不影响该主机的其它正常应用。 |
| 能强大的可疑事件(SNA)检测能力(能发现新的蠕虫和变种攻击) |
异常检测与统计检测是对基于规则的检测技术的有力补充。本系统采用异常轮廓统计分析技术,通过对异常的流量、会话、服务端口、连接等网络状态信息的分析,快速发现各种新的入侵,包括新蠕虫、变种攻击、系统误用等。 |
| 网络流量分析 |
提供基于各种协议的流量统计分析功能和基于访问端、服务端的流量统计功能。能统计、分析网络数据流量,发现异常并及时报警。支持流量信息监控,支持活动TCP连接监控,可以自动/手动切断可疑的TCP连接,支持传感器资源使用状况监控。 |
| 具备多种分析功能 |
包括:TCP流重组、端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能模式匹配等。 |
| 策略配置和升级能力 |
| 灵活的策略设置 |
提供多种缺省配置策略供用户选择,并有从缺省策略里派生用户自定义策略的功能。可根据用户需求定制不同的监控策略和监控事件,提供自察看检测规则的能力,用户可根据需求修正检测规则。 |
| 支持用户自定义策略 |
内置强大的、灵活的协议解码器,系统允许有经验的高级用户自定义入侵模式及特征,做到量体裁衣,检测用户最为关注的事件,并能重现入侵攻击事件。 |
| 支持在线升级 |
系统通过自身集成的在线升级模块方便地对入侵检测库和产品模块进行升级,可以通过控制中心在线升级检测引擎,而不必停止入侵检测系统的正常工作,极大地方便用户。 |
| 支持远程升级 |
具有完善的远程升级能力,用户可以在线远程自动更新攻击特征库或升级软件模块。 |
| 升级保障体系 |
本公司建立有完善的升级保障体系,拥有专业的升级团队,将不断地更新对最新攻击手段的识别,及时扩充到入侵模式库中及规则库中,并及时分发给各用户。 |
| 响应与报告能力 |
| 实时的检测分析、响应能力 |
能够全面、实时地监测网段中的所有数据传输,信息收集与分析同步进行,反应快速,实时性高,一旦发现可疑行为,可准确地显示入侵行为及其相关数据,实时向管理员告警,以便及时采取措施。系统对所检测到的入侵企图和违背设定安全策略的活动做出响应,并提供了多种响应方式。 |
| 支持用户自定义响应策略 |
支持用户自定义响应策略,支持响应策略全局配置。 |
| 支持多种报警和响应手段 |
提供多种实时报警和响应手段,报警方式有控制中心声音报警、电子邮件报警、短信报警、消息报警、手机短信、SNMP Trap消息、自定义程序、日志记录等。在发现入侵或者异常行为之后,可以根据检测规则提供TCP阻断、反向拍照、与防火墙或其它安全系统联动切断等多种响应方式。 |
| 支持多种格式的分析报表 |
本系统支持TXT、HTML、PDF等多种日志与审计报表样式及模板,并支持用户灵活定制。 |
| 管理能力 |
| 多网段检测、集中管理 |
同一检测引擎可以检测用户系统的多个网络。根据用户具体需求,每个检测引擎可以同时检测多达5个用户网络。各检测引擎可以集中由控制中心系统进行管理。 |
| 支持分级监控、集中管理 |
支持在大型网络中采用分级监控、集中管理模式。 |
| 支持事件管理 |
对各种入侵事件,系统会根据不同的风险级别、攻击类型、攻击针对的服务、入侵源地址、入侵目标地址、入侵时间段等内容,生成不同的统计报表和明细报表。 |
| 实时会话监控 |
提供实时监控当前TCP会话并根据需要进行切断、保存会话内容的功能。 |
| 实时系统监控 |
系统以图形方式实时监控IDS引擎的CPU、内存等资源信息及实时网络流量信息。 |
| 协议还原与内容监控 |
监控并还原邮件内容(POP3, SMTP, IMAP, WEB MAIL);监控并记录WWW、FTP、TELNET等TCP会话的访问信息。 |
| 提供报表 |
提供针对网络流量的统计报表;提供各种丰富的入侵事件报表;提供针对当前系统设置的详细分析报表;提供用户自定义报表。 |
| 具有图形化多功能控制台 |
系统具有集管理、监控和分析功能于一体的图形化控制台。 |
| 审计、取证能力 |
| 强大的信息记录、查询能力 |
具有强大的信息记录、查询能力,这些信息包括原始的网络信息(可以当作入侵的证据)、入侵警报信息、系统管理记录等。用户可以自定义的信息记录规则,只记录用户关心的网络活动,过滤掉用户不关心的网络信息。记录的信息可以进行多样化的、用户定义规则的查询,并可重现入侵攻击事件。 |
| 强大的审计功能 |
具有强大的审计功能,审计事件包括:组件事件、配置事件、任务事件、用户操作事件、异常事件等。 |
| 支持“日志快照”反日志攻击技术 |
攻击者有时会使用日志攻击方法使入侵检测系统的日志系统崩溃,从而达到攻击入侵检测系统并逃避检测的目的,本系统使用“日志快照”反日志攻击技术进行安全日志存储,有效防范日志攻击行为。 |
| 支持“反向拍照”取证技术 |
拥有国际首创的反向拍照技术,不但能捕捉到黑客的IP和其它入侵信息,还能给黑客拍一张 “全身照”,记录黑客的主机名、操作系统类型、版本、开放的服务、端口等主机特征信息,为有关部门进一步追踪黑客和取证提供了有力的依据。 |
| 联动协作能力 |
| 全面的联动能力 |
支持BDSEC、OPSEC、TOPSEC、NSSEC等主流联动协议,并提供通用联动API接口,能与蓝盾系列产品和其它第三方厂家的安全产品实现联动,共同防御入侵。 |
| 构建全网防御体系 |
配套提供服务器监控和桌面主机代理检测客户端软件,通过在内网每台主机上安装代理检测客户端软件,与本系统检测引擎进行联动,构成一个“全网防御”体系,可以有效防御、隔离冲击波、震荡波等大规模蠕虫攻击。 |
