天清入侵防御系统NGIPS_技术白皮书.docVIP

天清入侵防御系统NGIPS系列 – 技术白皮书 启明星辰 深层防御 精确阻断 PAGE 12 天清入侵防御系统NGIPS 技术白皮书 「深层防御 精确阻断」 北京启明星辰信息安全技术有限公司 2018 年 3月 密级：公开 版 权 声 明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天清”为启明星辰信息安全技术有限公司的注册商标，不得侵犯。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 信息反馈 如有任何宝贵意见，请反馈： 信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编：100193 电话：010传真：010您可以访问启明星辰网站： 获得最新技术和产品信息。目 录 TOC \o 2-4 \h \z \t 标题 1,1 1 概述 4 2 发展史 5 2.1 发展过程和方向 5 2.2 多核将成为IPS的最佳承载平台 5 3 产品综述 7 3.1 产品综述 7 3.2 特点说明 7 4 体系架构说明 8 4.1 产品构成 8 4.2 硬件结构 9 4.3 软件结构 10 4.4 管理结构 12 5 关键技术 14 5.1 基于行为分析的合法性检查技术 14 5.2 基于标签的融合式综合匹配技术 15 5.3 事件关联分析技术与归并处理机制 16 5.4 应用层协议类型识别技术 17 5.5 高速深层检测技术 19 5.6 智能内容过滤技术 22 5.7 非法连接过滤技术 24 6 典型组网 25 6.1 政府行业 25 6.1.1 电子政务网 25 6.1.2 政府专网 26 6.2 教育行业 27 6.2.1 高教校园网 27 6.2.2 中/基教教育城域网 28 6.3 企业市场 29 6.3.1 中小企业 29 6.3.2 大型企业 30 7 产品资质 32 8 服务支持 32 概述 诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。 防火墙是过去解决网络边界安全的重要网关设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。 近年来，安全威胁呈现了“多、快、高”的发展趋势。“多”是指安全事件数量多，据国际CERT组织统计，2000年的安全事件数量不足2万，而2007年的数量已经逼近100万；“快”是指安全威胁入侵的蔓延速度快、发现漏洞后攻击出现的时间快，最新的蠕虫病毒可以在几分钟之内就蔓延到全球范围，新的漏洞公布后几个小时就出现针对漏洞的攻击行为或工具；“高”是指安全威胁的层次越来越高，目前的威胁多数已经从网络层发展到应用层，包括入侵、蠕虫、P2P滥用等。 面对安全威胁的发展趋势，防火墙已经显得无能为力，它无法检测出封装在有效数据内的恶意威胁与攻击，也无法检测和控制对企业网络资源进行滥用的IM、P2P软件。在这种情况下，能够针对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现深层检测和阻断的入侵检测产品应运而生。 发展史 网络入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产