入侵检测产品白皮书

天阗入侵检测与管理系统产品白皮 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 全面检测、有效呈现 二零零九年五月 版权声明 启明星辰公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于启明星辰公司。未经启明星辰公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天阗”为启明星辰公司的注册商标，不得侵犯。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 启明星辰公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任 信息反馈 如有任何宝贵 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见 ，请反馈： 信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦  邮编：100193 电话：010-******** 传真：010-******** 您可以访问启明星辰网站：www.venustech.com.cn获得最新技术和产品信息。 启明星辰公司简介 启明星辰公司成立于1996年，是一家由中国留学生创立的，拥有自主知识产权的网络安全高科技企业。启明星辰公司的使命是：提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，成为中国最具有主导地位的企业级网络安全供应商，稳步迈入国际网络安全领导企业行列。启明星辰公司的目标和宗旨是：“诚信为先、技术领先、服务本地化、用户第一，成为国际一流的TSP——诚信的网络安全产品、服务与管理平台提供商。” 启明星辰公司目前已经形成三条业务主线：在安全管理平台（SOC）方面，启明星辰的泰合信息安全运营中心系统可以满足用户对于多种信息安全产品管理的需要，它包括面向事件的泰合关联管理平台、基于安全域的泰合业务风险监控管理平台、针对处理和响应的泰合工作流管理平台，具有开放性、全方位性以及客户化的特点。在安全服务方面，启明星辰公司强调“以人为本”的实时安全过程，可提供M2S国际化管理咨询、M2S专业化风险评估、M2S实时性管理监控、M2S专家型应急响应以及CISP认证 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 服务。在安全产品方面，启明星辰公司可提供入侵检测、入侵防御、漏洞扫描、防火墙/UTM、内网管理系统、上网行为监控系统、非法外联监控系统、安全审计系统、网络与数据容灾系统、网站监测与自动恢复系统等主流网络安全产品。 目  录 版权声明    i 免责条款    i 信息反馈    i 启明星辰公司简介    ii 1 关于天阗    1 2 产品综述    1 2.1 产品架构    1 2.2 产品型号    2 3 产品特点    2 3.1 旁路检测    2 3.2 入侵检测    3 3.3 报表分析    3 4 产品技术特点    3 4.1 全面检测    3 4.2 有效呈现    5 5 产品典型应用    6 6 服务支持    7 1 关于天阗 天阗入侵检测与管理系统是是启明星辰公司自行研制开发的入侵检测类网络安全产品。通过旁路方式部署在网络中，实时抓取分析网络数据，判断是否有违规或者是恶意行为发生并告知网络管理员。 天阗入侵检测系统作为风险管理类安全产品，其主要作用是协助用户了解网络的内部状况，为用户的网络安全建设提供决策依据。 启明星辰在入侵检测技术领域的成就深受国家权威部门的肯定和认可，是国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位. 同时，启明星辰公司的天阗入侵检测通过了CVE严格的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 评审，获得最高级别的CVE兼容性认证（CVE Compatible），从而成为国内IDnVA市场中较少的获得CVE认证的厂商之一，这标志着启明星辰公司在入侵检测方面的技术实力已与国际接轨，其研发成果已得到了国际权威组织的充分认可。 天阗入侵检测系统凭借强大的功能、简单的操作、友好的用户界面、全面的技术支持深得用户信赖，因此天阗入侵检测系统已经连续五年保持了中国入侵检测市场第一品牌。 2 产品综述 2.1 产品架构 天阗入侵检测与管理系统由软件版本的入侵检测控制中心与硬件形式的入侵检测引擎组成，其产品架构如图所示： 入侵检测控制台包括四个可独立也可组合部署的部件，管理控制台负责向入侵检测引擎下发策略以及接受引擎上报事件，这些上报的事件依据响应策略实时显示在报警监控台和存储在日志数据库中，存储在日志数据库中的历史信息可以通过报表分析组件进行 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 的生成和查询。 2.2 产品型号 天阗入侵检测与管理系统提供了适应百兆和千兆环境的产品型号： 表一：天阗入侵检测与管理产品型号设置 型号 适用网络 NS100 基本百兆 NS200 基本百兆 NS500 高端百兆 NS1500 基本千兆 NS2200 基本千兆 NS2800 高端千兆     3 产品特点 3.1 旁路检测 天阗入侵检测系统以旁路方式接入到网络，不会更改网络的拓扑和既有配置。此外，旁路部署的入侵检测系统可以分析那些只是在网络内部进行的通讯数据。 3.2 入侵检测 天阗入侵检测系统可以发现各种恶意和可疑行为，并提供相应的处理建议。可发现的恶意和可疑行为包括： 表二：可发现攻击行为类型 缓冲区溢出攻击 网络数据库攻击 网络设备攻击 安全扫描 木马后门 间谍软件 DOS与DDOS 蠕虫病毒 CGI访问/攻击 网络娱乐 安全漏洞 穷举探测 脆弱口令 暴力猜解 ......       3.3 报表分析  天阗入侵检测系统提供了可独立部署的报表分析组件，内置近百种报表模板，还可根据用户需求，自行组合报表类型。 4 产品技术特点 天阗入侵检测与管理系统作为一种风险管理类安全产品，其作用是收集和分析网络中的各种安全事件信息，并将分析结果提交管理员，以协助管理员进行安全规划和建设。所以对这类风险管理产品来说，“全面检测，有效呈现”将是其产品的核心价值。 4.1 全面检测 全面检测，是入侵检测产品的前提功能，没有做到全面的检测，收集的信息不足，其分析结果的准确性和协助决策的意义就值得商榷。启明星辰公司认为，入侵检测产品的“全面检测”，不应当是简单的全面攻击类型检测，还应当包括如下方面： A、收集信息点的全面——天阗入侵检测与管理系统支持多级分布式管理，可在多个地点部署入侵检测的控制台和检测引擎，进行统一的管理：控制台可以下接子控制台或引擎，组成树形管理部署架构，并且可将所有信息点数据进行集中收集和处理，实现全面的信息收集。 B、协议分析的全面——天阗入侵检测与管理系统支持对所有TCP/IP协议的分析，而对在此基础上衍生出的新型应用层协议，天阗支持动态协议插件技术，可以根据实际情况，在协议分析组中即时增加应对新型协议的分析方法，做到对网络数据的全面协议分析。 C、检测机制的全面——对入侵检测产品而言，检测方法不外乎两种，一种是基于特征的检测机制，从事件的协议、端口、长度等参数信息方面入手，以字符串方式定义事件，这种检测机制的特点是准确率高，只有完全符合特征的字符串才会触发事件，但与此同时缺点也很明显，如果攻击者稍微调整一下参数，使用变种方式进行攻击，将可以很轻易的绕过检测，想要在基于特征的检测机制中解决这个问题，只能是对新出现的每一种变种都定义相应的检测规则，这在攻击变种层出不穷的今天，是不可能做到的。另外一种就是基于原理的检测机制，从攻击的发生原理出发，并不只关注攻击事件本身的数据特点，而是综合攻击利用的方法和攻击数据本身，从攻击机理方面来实现对攻击事件的检测。这种检测机制和前一类方法比，没有拘泥于攻击代码的完全匹配，使得对大量的变种攻击可以仅用一条或数条事件进行检测，在扩大检测覆盖面的同时降低了检测性能的消耗。天阗入侵检测与管理系统融合了基于原理和基于特征的两大类检测机理，在检测机制方面，确保了全面。 D、事件检测和分析的全面——用户在使用天阗时，所能检测的事件有两大类，一类是启明星辰公司所定义的，可以通过升级得到最新版本；另一类是用户自定义事件。启明星辰公司拥有业内最完善的事件分析和支撑系统： 通过一整套组织保障，来确保天阗内置检测事件的全面。此外，天阗还提供了可供高级用户使用的自定义事件功能，提供40余种用户可选检测参数，对自己网络有充分了解的用户，可以通过定义需要检测事件的每一个字段细节，来实现个性化的入侵检测功能。通过厂商和用户的双向参与，实现事件检测和分析的全面。 E、检测范围的全面——天阗入侵检测与管理系统除了提供对网络具体事件的检测外，还提供了对流量的检测。很多安全事件往往伴随着网络流量的异常，对流量异常事件的及时发现和处理，可以有利于扩大管理员的检测范围。 F、检测性能的全面——天阗入侵检测与管理系统采用最短时间优先算法： ? 自动检测自动检测硬件资源，并根据任务特点进行充分合理的分配； ? 内置多种匹配算法，根据网络流量特点自动选择效率最高的算法； ? 采用CPU绑定技术，减少串行处理带来的等待和切换时间 保证了在满负荷网络负载情况下的检测效率。 4.2 有效呈现 有效呈现是入侵检测产品的用户价值体现，入侵检测系统作为风险管理产品，设备本身并不直接给用户带来价值：不会自动阻断攻击或者是帮助用户修补漏洞，所能带来的价值是通过将收集到的信息呈现给用户而实现的，可以说：没有好的呈现，入侵检测就发挥不了作用。启明星辰认为，有效呈现就是将那些用户想要看到的和必须要看到的信息，呈现给用户看，这包括以下这些部分： A、精确的报警信息——在使用入侵检测系统的过程中，一个常见问题就是报警信息太多，网络管理员无法对所有事件进行一一的分析，这在某种程度中也降低了用户对入侵检测产品的信任：大量的报警信息是否都是用户所必须关注的？天阗入侵检测与管理系统提出了“结合环境指纹技术，减少报警信息呈现”的概念，由于大部分入侵检测系统的分析来源是网络实时数据流，并不收集和分析来源和目标的系统信息，所以可能会出现向UNIX系统发出的Windows类攻击行为也将会形成报警，而这类“无用”的报警信息可能会影响用户的使用，结合环境指纹技术后，入侵检测系统在发现有攻击行为后，与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独呈现，减少用户的分析操作消耗。 B、详尽信息呈现——入侵检测产品的呈现信息是用来指导用户工作的，所以必需要附上详尽的事件描述信息，天阗入侵检测与管理系统的报警信息除了包括事件的双方的地址、协议等信息外，还包括了对事件的具体描述：漏洞信息、修补建议、影响系统等。可以将最细致的事件信息呈现给用户。 C、威胁地址定位——天阗入侵检测与管理系统提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下，可以将设备拓扑与地理拓扑相结合，使得管理员可以直观而迅速的判断威胁所在。 5 产品典型应用 天阗入侵检测与管理系统支持独立单级独立部署方式和多级分布式部署方式： A、单级独立部署方式：在局域网内部署一台或多台入侵检测引擎，使用一个控制台进行管理和控制。这种部署方常见于独立采购的情况，通过在不同的安全区域部署入侵检测引擎，实现整个网络的入侵检测。 B、多级分布式部署方式：在多个对等区域部署入侵检测引擎，并在各对等区域有独立子控制台，这些子控制台通过网络，远程接受总控制台的统一管理，这种部署情况多见于集中采购的情况，在全省或是全国范围内实现统一管理。 产品资质 计算机软件著作权登记证书 计算机信息系统安全专用产品销售许可证 国家信息安全认证产品型号证书EAL3 涉密信息系统产品检测证书 军用信息安全产品认证证书 服务支持 北京总部售后统一支持热线：800－810－6038 Web网址： 分支机构联系方式： 上海启明星辰信息技术有限公司 地址：上海市浦东张江高科技园区松涛路563号海外创新楼A座6层 邮编：201203 电话：021-******** 传真：021-******** E-MAIL：shanghai@venustech.com.cn 启明星辰信息技术有限公司深圳分公司 地址：深圳市福田区深南中路2号新闻大厦十四层 邮编：518027 电话：0755-********  传真：0755-******** E-MAIL：shenzhen@venustech.com.cn 启明星辰信息技术有限公司武汉分公司 地址：武汉市武珞路717号兆富国际大厦3005室 邮编：430072 电话：027-******** 传真：027-******** E-Mail：wuhan@venustech.com.cn 启明星辰信息技术有限公司重庆分公司 地址：重庆市高新区科园一路200号渝高广场C座15－1号 邮编：400039  电话：023-******** 传真：023-******** E-Mail：chongqing@venustech.com.cn 启明星辰信息技术有限公司沈阳分公司 地址：沈阳市和平区文化路19号金科大厦910室 邮编：110004 电话：024-********；024-******** 传真：024－23898922 E-Mail：shenyang@venustech.com.cn 启明星辰信息技术有限公司西安分公司 地址：陕西省西安市南二环中段396号秦电国际大厦0735室 邮编：710061 电话：029-********    传真：029-******** E-Mail：xian@venustech.com.cn 启明星辰信息技术有限公司成都分公司 地址：成都市上南大街49号吉祥大厦1408室 邮编：610041 电话：028-********      86133212     86133213 传真：028-******** E-Mail：chengdu@venustech.com.cn 启明星辰信息技术有限公司广州分公司 地址：广州市天河区林和东路侨林街43号中旅商务大厦1902室     邮编：510610 电话：020-********,020-********(网通电话） 传真：020-********  E-Mail：guangzhou@venustech.com.cn