网神SecIDS 3600入侵检测系统产品白皮书.docx
- 文档编号:13629310
- 上传时间:2023-06-15
- 格式:DOCX
- 页数:17
- 大小:162.25KB
网神SecIDS 3600入侵检测系统产品白皮书.docx
《网神SecIDS 3600入侵检测系统产品白皮书.docx》由会员分享,可在线阅读,更多相关《网神SecIDS 3600入侵检测系统产品白皮书.docx(17页珍藏版)》请在冰点文库上搜索。
网神SecIDS3600入侵检测系统产品白皮书
产品白皮书
网神SecIDS3600入侵检测系统
网神信息技术(北京)股份有限公司
目录
1产品概述1
2产品特点1
3主要功能3
4产品形态13
5产品资质16
1产品概述
针对互联网病毒、蠕虫,黑客攻击行为的增多,网神SecIDS3600入侵检测系统在监测网络流量的基础上,集成对这些信息的控制和实时响应功能,为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能,帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析,构建安全可靠的信息网络。
2产品特点
⏹强大的分析检测能力:
采用了先进的入侵检测技术体系,结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击,使系统能够准确快速地检测各种攻击行为,并显著地提高了系统的性能,能够适应日益复杂的网络环境。
⏹超低的误报率和漏报率:
采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。
⏹丰富的统计报表:
能够给用户提供丰富的动态图形报表,有超过40种的分析报表模版和向导式的用户自定义报表功能。
⏹良好的可管理性:
优化的三层分布式体系架构设计,分级部署,集中控制,全远程智能升级。
能够提供图形化的风险评估、事件显示和资产配置,以及图形化的网络流量状态的实时监控。
⏹基于工作域的管理模式:
SecIDS3600v4.0采用基于工作域的全新管理模式,用户可以按照传感器部署的位置或组织结构的要求等条件,将整个入侵检测系统划分为不同工作域。
在不同的工作域里,可以根据需要部署不同的组件。
工作域之间可以是平行或上下级的关系,上一级的工作域拥有比下一级工作域更多的管理权限。
系统具有唯一的全局工作域,负责对整个系统进行管理。
采用工作域的管理模式可以更方便的实现分布式多级部署、集中统一管理的大规模网络部署要求,并且可以直观了解整个系统中存在的安全威胁,制定和部署统一的安全策略。
⏹可视化系统拓扑:
系统中的组件、设备、策略都按照工作域来部署和管理,按照组件和设备的实际连接拓扑和工作域的划分,采用图形化的方式直观的显示系统的拓扑,在系统拓扑图上可以清晰地查看各个组件的流量信息、运行状态和所部署的位置。
⏹配置向导:
针对单一工作域的单机部署方式,SecIDS3600v4.0在安装系统时提供了配置向导,用户可以方便快捷地完成整个系统的安装和配置,轻松实现“即装即用”。
⏹组件自动发现:
系统中的组件和设备在被正确配置后,在控制台(Console)端会被自动识别出来,用户只需将组件激活即可正常工作,避免了新增组件时的手工添加。
根据组件和设备所处的网段,系统会以不同的颜色予以标识,便于用户识别。
⏹网络活动审计:
SecIDS3600v4.0可以记录被监控网络中的IM、P2P、WWW、FTP、SMTP、POP3、SNMP等多种协议的网络行为,便于用户及时了解网络的使用情况。
⏹目标操作系统识别:
网神SecIDS3600入侵检测系统基于目标操作系统指纹识别的智能IP碎片重组技术采用先进的,更加隐蔽安全的被动探测工作方式来探测分析目标主机的操作系统,并根据探测结果采用针对性的IP碎片重组技术,在避免误报和漏报的同时,极大的提高了IP碎片重组的速度,从而提升了引擎的性能。
⏹更直观的策略管理结构:
SecIDS3600v4.0采用了全新的策略管理结构,结合新的签名分类、策略派发、关联规则和签名响应管理等功能,用户可以方便快捷的建立适用不同环境的攻击检测策略。
⏹灵活的签名分类:
基于网络应用、风险级别和攻击类型的签名分类原则,用户可以更准确快捷地查找到所关注的签名类别。
⏹检测签名一致性:
在存在上下级关系的多工作域部署模式中,上级域可以制定需要强制执行的检测签名,下级域对这些签名不可更改,这样可以充分保证整个系统检测签名的一致性,对于行业用户来说,这点尤其重要。
⏹关联规则:
用户可以将符合条件的安全事件和自定义签名别名关联起来,以便更直观的了解网络中的风险情况。
基于工作域的管理模式
⏹深度数据分析:
入侵检测系统的数据分析是发现可疑攻击行为的重要过程,SecIDS3600v4.0采用了深度数据分析技术,通过多次的数据查询和统计操作,用户可以从大量的事件告警中快速准确的找到所需要的数据。
3主要功能
部署与结构
支持共享式网络部署
支持交换式网络部署
支持工作域单机和分布式安装部署
支持TAP方式
支持多级工作域管理模式
支持全冗余高可用性部署
支持不对称路由条件下的部署
多层架构,包括设备(sensor)、中间组件(DCP/CMS/Adapter/LogServer)和客户端(console/DAT)
支持主备传感器适配器
检测技术
硬件加速包截获技术
IPV4协议支持
基于状态的协议分析技术
深度协议解码与模式匹配技术相结合
协议兼容性检测(RFC兼容性检测)
支持对多种应用协议的状态追踪与攻击检测
基于目标操作系统指纹识别的智能IP碎片重组技术
连接状态分析技术
基于漏洞存在的检测技术
攻击检测类型
支持对未知攻击探测行为的检测
支持对Windows系统漏洞攻击的检测
支持对Linux/Unix系统攻击的检测
支持对常见P2P软件活动的检测
支持对常见IM软件活动的检测
OSFingerPrint识别能力
支持对洛伊木马、后门类攻击的检测
支持对FTP,WWW,SMTP,SMB,NNTP,NDMP等数十种常见协议的兼容性检测
支持针对TCP、UDP、IP协议的检测
支持针对WWW,FTP、TELNET、SMTP、DNS、IAMP、POP等数十种应用层协议的检测
支持针对数据库(MS-SQL/Oracle/MYSQL)攻击检测
针对SQL注入攻击的检测
支持对用户定义网络行为的检测
支持对用户自定义签名的检测
支持对非法访问行为的检测
支持对口令猜测行为的检测
支持对蠕虫病毒的检测
支持对CGI/PHP攻击的检测
支持端口扫描的检测
支持主机扫描的检测
支持身份认证的检测
支持DoS/DDoS攻击的检测
支持IIS、Apache攻击的检测
支持SIP协议安全性的检测
支持常见网络scanner扫描的检测
支持恶意软件、间谍软件检测
支持MSRPC漏洞的检测
支持Linux/UNIXr命令检测
支持SSL协议攻击的检测
支持SSH安全性的检测
支持CISCOIOS攻击的检测
支持TCP的标志位检查
支持IP欺骗检查
支持对缓冲区溢出攻击的检测
支持对错误文件类型的检测
抗逃避技术
应用层协议状态追踪
抗变形攻击
抗IP分片与重叠
支持TCP会话重组
支持非对称路由环境中的TCP会话融合
支持Unicode分析解码技术
系统安全性
具有系统中间层冗余机制
系统组件之间通信采用可靠的安全加密机制
高强度口令认证机制
采用认证证书机制
无shell安全操作系统
基于工作域的权限管理方式
工作域管理
添加工作域
删除工作域
修改工作域信息
图形化显示工作域组织结构关系
用户管理
审计员、管理员、用户分权管理
基于工作域的用户权限分配
创建管理员用户
创建普通用户
用户分组管理
超时自动退出
N次口令尝试错误后自动锁定用户账号
用户锁定/解锁
强制用户离线
登陆IP绑定
用户状态显示(在线、离线、锁定)
中间组件管理
图形化显示组件连接拓扑
按所属工作域显示组件
组件连接状态和流量信息显示
组件自动发现
组件运行状态显示
实时显示组件系状态与资源占用信息
自动发现组件激活
手工添加组件
删除组件
组件配置修改
批量应用策略
批量重启设备
批量同步签名
批量清除数据
支持组件地址和端口映射
设备管理
实时显示传感器命令、事件通道的状态
设备自动发现
激活自动发现设备
图形化显示设备和组件连接关系
连接状态和流量信息显示
设备运行状态实时显示
设备连接测试功能
添加/激活设备时自动同步签名
添加/激活设备时自动应用策略
重启设备主机
重启设备检测引擎
清除设备上的历史数据
提供串口管理界面
引擎防篡改技术
系统时钟配置
时钟服务器配置
产品硬件激活机制
设备通信口令配置
主备事件收集器切换能力
实时显示传感器捕获的流量
实时显示传感器系统资源的消耗情况
策略配置管理
签名按照网络应用分类
签名按照风险等级分类
签名按照攻击类型分类
环境变量配置向导
访问控制规则
网络活动审计签名
攻击签名参数调整
提供多种策略模版
告警洪波抑制
常用服务配置
告警事件过滤
检测白名单配置
策略导入导出
上级域向下级域的策略派发
上级域的检测基线设置
告警响应全局参数配置
告警响应整体配置
关联规则绑定
支持用户派生自定义策略
支持用户自定义策略的删除
支持策略更名功能
具有策略编辑锁定功能
提供策略告警帮助
提供策略配置帮助
事件关联
事件关联规则
事件归并规则
支持多对一的事件关联
支持一对多的事件关联
支持多条件的关联规则触发条件设定
攻击签名库管理
重大安全事件攻击签名库及时更新
攻击签名库定期升级服务
攻击签名库定制
安全事件
安全事件频率统计功能
风险评估统计功能
按事件发生频率统计TOP10
按传感器告警频率统计TOP10
按源IP分类排序
按目标IP分类排序
按事件名称分类排序
按传感器分类排序
支持事件显示过滤规则
提供直观的柱状图或饼图显示
支持用户自定义设置统计图显示
事件按照风险分级别分类显示
支持事件合并功能
支持事件列表的清除功能
支持查看告警的详细信息
支持控制台接收事件的开始和停止
支持告警日志与知识库系统的关联
系统运行日志
记录中间组件的运行日志
记录设备的运行日志
记录客户端的运行日志
记录组件认证的日志
支持日志列表的清除
支持日志信息以mail方式发送给管理员
支持日志信息以snmptrap方式发送
支持查看系统运行日志的详细信息
事件响应方式
事件响应策略模版
自定义事件响应策略
事件响应策略应用于DCP组件
支持将告警事件显示在控制台
支持将告警事件记录在数据库中
支持向制定的snmp服务器发送snmptrap
支持通过电子邮件方式通知管理员
支持邮件告警方式的归并功能
支持在特定事件出现时运行用户指定的程序
支持以Syslog方式发送事件信息
支持OPSEC协议
数据库管理
支持商业数据库SQLSERVER
数据库容量预警
数据备份、恢复
数据导入、导出
数据删除
数据库迁移
数据满自动覆盖
海量数据存储支持
支持报表重建功能
支持数据同步功能
支持数据维护的计划任务功能
数据库多实例支持
支持数据库维护操作的记录功能
数据库容量查询
数据分析
支持针对单一条件的统计查询分析
支持多条件安全事件交叉统计查询分析
支持安全事件的统计查询分析
支持系统组件/设备运行日志的统计查询分析
支持操作审计日志的统计查询分析
支持组件/设备运行状态的曲线图分析
支持棒图、饼图、列表图格式的统计图表
支持交互式数据分析过程的操作
支持数据分析的下旋操作
提供面向过程的数据分析引擎
支持统计图表与数据报表联动
支持用户定义数据分析过程模板
支持生成统计分析报告
支持分析报告的自定义功能
支持事件名称和事件帮助的关联功能
支持历史操作记录和保存功能
允许用户自定义数据分析的时间范围和TOPN
支持对多个数据库的数据统计
支持报告导出为html格式文件
支持报告导出为word格式文件
支持报表邮件传送功能
支持查询结果作为数据源的功能
支持统计结果中的查询功能
网络活动审计
AOL即时通讯活动审计
P2P网络活动审计
IM通讯软件活动审计
常见协议活动审计
Authertication活动审计
网络审计事件接收和停止
网络活动审计策略签名参数调整
网络活动审计事件响应
网络活动审计事件统计查询分析
审计日志
审计客户端的用户操作信息
审计系统组件的用户操作信息
审计设备的用户操作信息
审计组件认证信息
审计策略管理的操作信息
审计用户的管理操作
审计用户的登录信息
审计用户组的管理操作
审计用户的锁定/解锁信息
审计数据库的用户操作信息
身居数据库的备份恢复信息
审计数据分析工具的用户操作信息
审计工作域用户操作信息
审计用户状态信息
审计用户自定义分析模版的操作信息
审计用户权限的操作管理
故障诊断
服务故障检测
设备故障检测
通信故障检测
其他功能
提供产品安装部署手册
提供产品操作手册
提供数据分析工具手册
提供在线帮助
支持系统的本地升级
攻击签名库的在线升级(internet)模式
攻击签名库的本地升级模式
升级过程提供向导模式
提供许可证机制
实时显示控制台当前数据接收速度
支持控制台当前状态显示功能(在线/离线)
支持用户登录时间显示
支持用户无操作时间提示功能
支持登录地址记忆
4产品资质
●公安部销售许可证(百兆和千兆)
●国家信息安全测评信息技术产品安全测评证书EAL3(百兆和千兆)
●国家保密局涉密信息系统产品检测证书(百兆和千兆)
●3C产品认证证书(百兆和千兆)
●计算机软件著作权登记证书
●军用信息安全产品认证证书
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网神SecIDS 3600入侵检测系统产品白皮书 网神 SecIDS 3600 入侵 检测 系统 产品 白皮书
![提示](https://static.bingdoc.com/images/bang_tan.gif)