JUMP網络入侵检测系统技术白皮书v2.8.docVIP

JUMP 入侵检测系统(JIDS) 技 术 白 皮 书 西安交大捷普网络科技有限公司 网址: 序言 二十一世纪是网络的时代，由于互联网络的发展，整个世界经济正在迅速地融为一体，而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动力，其地位越来越重要。入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。Jump? 入侵检测系统是一款专门针对黑客攻击行为而研制的网络安全产品。该产品采用国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。本系统采用业内领先的攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，是一个拥有完全自主版权、实用性强的安全产品，可广泛应用于金融、教育、政府机关、军队和中小型企业等企事业单位。 端口速率 10/100M 端口协议 IEEE 802.3 物理接口 RJ-45标准 控制台端口 1个，速率为9600bps 存储器 FLASH 32MB DRAM 128MB至1GB（因探测器平台区别而不同） 并发连接数 100万 工作电源 电压：220V AC，频率：50~60Hz，电流：0.6A 额定W±10% 工作温度 -10～60℃ 环境湿度10～90% 不结露实时检测入侵功能可以实时地对网络上的攻击进行监测，一旦发现可疑信息，入侵检测可准确显示其数据目标和来源，及时向管理员告警。丰富和友好的管理界面所有的入侵监测系统提供友好的人机界面，使得管理员易于操作和管理整个入侵监测系统。采用可视的管理、监视、控制和分析操作界面，方便使用。对报警信息的检索、查询和统计管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计。全新的离线报警方式除了常规屏幕显示报警信息，系统还可以自动将报警信息传送到管理员的E_mail信箱，并同时提供声音报警。多种类型的报表对管理中心的日志信息可以采用多种形式显示出来，如以表、柱型图、饼图、曲线图、web报表统计等形式显示结果数据的安全通信引擎与管理中心之间的数据通信是经过安全加密（SSL协议）和认证的，只有正确安装证书和密钥的控制台，采可与引擎之间进行通信。引擎的实时监测与管理在管理中心，系统管理员可以实时地获取到引擎的状态信息，并可以对引擎进行启动、停止等管理。入侵检测规则的自定义用户可以自己定义一些入侵检测规则，加入到引擎的规则库中去，更加灵活地进行入侵检测。开放式的插件机构系统检测能力不断增长,包括入侵规则的自动升级和更新。断开网络功能Jump入侵检测系统提供断网功能，对于一些恶意的攻击行为，可在系统中设置为阻断，一旦系统检测到相关的攻击行为，可以将此连接从网络中断开，保证网络的安全。详细的安全知识库可以由管理中心给用户提供关于安全规则及攻击事件的详细信息事件的描述。/IP协议通信，可以跨越路由器、防火墙。 强大的安全审计回放功能 能够对HTTP,SMTP,POP3,FTP,TELNET等协议根据制定的审计规则进行实时审计，同时可以完全回放报警数据流，使得网络管理员可以实时发现并跟踪，以及保留一个非法访问的数据流。 丰富的网络监测功能 针对常用的网络工具，特别为用户开发了针对MSN，QQ，Popo以及BT，ftp等多种网络应用的监测。不但监测入侵，更能对内部网络出现的隐患进行及时排查。 在线升级 捷普入侵检测系统（JIDS）提供在线升级的能力，用户可以通过我们的网站了解产品动态升级的最新情况，网络管理员可以在管理中心直接进行对其规则库进行升级，使入侵检测系统一直保持最良好的表现。 1 总体架构 JUMP入侵检测系统采用分布式、模块化的设计思想，整个系统包括传感器、数据采集器和控制台三个组成部分。 传感器-------传感器以软硬结合的方式实现，针对入侵检测对性能的需求，我们研制了专用的硬件平台