蓝盾入侵防御系统(BD-NIPS)技术白皮书.docVIP

蓝盾入侵防御（BD-NIPS）系统 技术白皮书 蓝盾信息安全技术股份有限公司目录 一、 产品需求背景 3 二、 蓝盾入侵防御系统 4 2.1 概述 4 2.2 主要功能 5 2.3 功能特点 8 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 8 2.3.2 检测模式支持和协议解码分析能力 8 2.3.3 检测能力 9 2.3.4 策略设置和升级能力 11 2.3.5 响应能力 12 2.3.6管理能力 13 2.3.7 审计、取证能力 14 2.3.8 联动协作能力 15 三、 产品优势 16 3.1 强大的检测引擎 16 3.2 全面的系统规则库和自定义规则 16 3.3 数据挖掘及关联分析功能 16 3.4 安全访问 16 3.5 日志管理及查询 17 3.6 图形化事件分析系统 17 四、 型号 18 产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？答案是肯定的。 入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 有了入侵防御系统，您可以： 知道是谁在攻击您的网络 知道您是如何被攻击的 及时阻断攻击行为 知道企业内部网中谁是威胁的 减轻重要网段或关键服务器的威胁 取得起诉用的法律证据 蓝盾入侵防御系统 概述 蓝盾NIPS是一种实时的网络入侵防御和响应系统。它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告，实时对攻击做出阻断响应，并提供补救措施，最大程度地为网络系统提供安全保障。 蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。用户可以实时查看网络中的通讯。可设置监控IP的流量、端口的流量和总流量，有利于管理员更正确地了解分析网络行为。一旦发现可疑行为，蓝盾IPS可以准确地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。蓝盾IPS可以根据用户的设置，将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式发给客户，可供用户查询。 蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异常等方式的检测，其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。 蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了4-6个固定的10/100/1000Mbps自适应以太网接口（4电或4电2光），最多可以同时保护3个子网。同时，蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。 蓝盾NIPS采用专为安全应用度身定做的安全操作系统，可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。 主要功能 编号 功能 功能描述 1 支持镜像口监听、透明、路由、混合部署模式。 ??? BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御(或监控)网络，实时对攻击做出反应，最大程度地为网络提供安全保障。 2 支持多种协议解码分析 ??? 能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。 3 完备的分析检测能力 ??? BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了