蓝盾入侵防御系统(BD-NIPS)技术白皮书解析.doc

蓝盾入侵防御（BD-NIPS）系统 技术白皮书 蓝盾信息安全技术股份有限公司目录 一、 产品需求背景 3 二、 蓝盾入侵防御系统 4 2.1 概述 4 2.2 主要功能 5 2.3 功能特点 8 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 8 2.3.2 检测模式支持和协议解码分析能力 8 2.3.3 检测能力 9 2.3.4 策略设置和升级能力 11 2.3.5 响应能力 12 2.3.6管理能力 13 2.3.7 审计、取证能力 14 2.3.8 联动协作能力 15 三、 产品优势 16 3.1 强大的检测引擎 16 3.2 全面的系统规则库和自定义规则 16 3.3 数据挖掘及关联分析功能 16 3.4 安全访问 16 3.5 日志管理及查询 17 3.6 图形化事件分析系统 17 四、 型号 18 产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？答案是肯定的。入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。知道是谁在攻击您的网络知道您是如何被攻击的知道企业内部网中谁是威胁减轻重要网段或关键服务器的威胁取得起诉用的法律证据TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。 蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了4-6个固定的10/100/1000Mbps自适应以太网接口（4电或4电2光），最多可以同时保护3个子网。同时，蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。 蓝盾NIPS采用专为安全应用度身定做的安全操作系统，可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。 主要功能 编号 功能 功能描述 1 支持镜像口监听、透明、路由、混合部署模式。 ??? BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御(或监控)网络，实时对攻击做出反应，最大程度地为网络提供安全保障。 2 支持多种协议解码分析 ??? 能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。 3 完备的分析检测能力 ??? BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析、异常行为检测、关联分析、数据挖掘等方法，采用了自适应多协议融合分析技术。 4 强大的攻击特征模式库 ??? BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库共有8000多条，能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。 5 强大的蠕虫检测能力 ????? BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。 6 实时检测基于服务的攻击行为 ??? BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。 7 有效的异常检测技术 ??? 有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种