天清汉马usg产品技术白皮书 - 翰东科技.doc

天清入侵防御系统NIPS系列 技术白皮书 北京启明星辰信息技术有限公司 Beijing Venus Information Tech 版 权 声 明 北京启明星辰信息技术有限公司本中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意本北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 信息反馈 如有任何宝贵意见，请反馈： 信箱：北京市海淀区获得最新技术和产品信息。目 录 1 概述 3 2 发展史 3 2.1 发展过程和方向 4 3 适用背景 4 4 产品综述 5 4.1 产品综述 5 4.2 特点说明 5 4.3 产品系列简介 7 5 体系架构说明 8 5.1 产品构成 8 5.2 软件结构 8 5.3 管理结构 10 6 关键技术 12 6.1 基于行为分析的合法性检查技术 12 6.2 基于标签的融合式综合匹配技术 13 6.3 事件关联分析技术与归并处理机制 14 6.4 应用层协议类型识别技术 15 6.5 高速深层检测技术 17 6.6 智能内容过滤技术 20 6.7 数据监控NetFlow技术 22 6.8 非法连接过滤技术 23 7 典型组网 24 7.1 政府行业 24 7.1.1 电子政务网 24 7.1.2 政府专网 26 7.2 教育行业 27 7.2.1 高教校园网 27 7.2.2 中/基教教育城域网 28 7.3 企业市场 29 7.3.1 中小企业 29 7.3.2 大型企业 30 8 产品资质 32 9 服务支持 33 概述 诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在安全的术语里，有一个名词“安全域”，网络按照划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，就是一个最简单的安全域。 发展史 网络入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产品被大部分网络安全管理人员认知的同时，就出现了入侵防御的概念。在经过一段复杂的发展过程后，入侵防御产品的价值逐渐清晰，并获得了市场的认可。 发展过程和方向 从2000年出现入侵防御概念，到2006年才形成规模市场销售，入侵防御产品的发展过程分为两个阶段。 起步阶段 最初的入侵防御概念认为“入侵防御将会是入侵检测的升级版本”，因此当时的入侵防御系统仅仅是将入侵检测系统串行接入，发现攻击后对数据包予以丢弃。事实上入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在分歧。这些问题导致了“替代论”并不为大众所认可。 成熟阶段 随着大量的机构开始使用网络作为办公或业务开展的载体，网络应用越来越复杂，这些机构所关心的网络安全问题更多的是如何有效防御越发严重的网络应用层攻击行为。这与传统入侵检测产品的风险管理目标没有重合，需要入侵防御产品来弥补这一空缺。 而上述要求，也正是入侵防御产品的发展方向：发现并准确阻断那些防火墙等其他安全产品所不能防御的深层威胁行为。 适用背景 入侵防御产品以串行方式透明接入网络，通常部署在防火墙内部或网络节点处，对网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御）进行检测和阻断。 产品综述 产品综述 天清入侵防御系统是启明星辰公司自行研制开发的入侵防御类安全产品，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。 除了入侵防御功能以外，天清入侵防御系统NIPS系列（以下简称天清NIPS）还集）内容过滤等多种安全技术于一身，全面支持、高可用性（HA），网络全面实时的安全。产品线丰富，可以为所需要的安全防护产品。IPS-坚固的防御体系 业界最完善的攻击特征库，包括50多类，超过1800项的入侵攻击特征 漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术，全面防止拒绝服务攻击 完善的访问控制手段 IP地址过滤、MAC地址过滤、IP＋MAC绑定、用户认证、流量整形、连接数控制等 业界领先的网络防病毒技术（可选模块） 文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计＞150,000 病毒类型根据危害程度划分为：流行库、高危库、普通库 实用的流量监控系统NetFlow 历史带宽使用趋势分析