蓝盾入侵防御系统(BD-NIPS)技术白皮书

《蓝盾入侵防御系统(BD-NIPS)技术白皮书》由会员分享，可在线阅读，更多相关《蓝盾入侵防御系统(BD-NIPS)技术白皮书（24页珍藏版）》请在金锄头文库上搜索。

1、中国蛊盾LUEDON OF CHINA蓝盾入侵防御（BD-NIPS系统技术白皮书蓝盾信息安全技术股份有限公司中国篮盾BLUEDD4I OF EHINA蓝盾入侵防御系统技术白皮书目录、产品需求背景 3二、蓝盾入侵防御系统 42.1概述42.2主要功能 52.3功能特点 82.3.1固化、稳定、高效的检测引擎及稳定的运行性能 82.3.2检测模式支持和协议解码分析能力82.3.3检测能力 92.3.4策略设置和升级能力 112.3.5响应能力 122.3.6管理能力 132.3.7审计、取证能力142.3.8联动协作能力 15三、产品优势163.1强大的检测引擎 163.2全面的系统规则库和自定义

2、规则163.3数据挖掘及关联分析功能 163.4安全访问 163.5日志管理及查询 173.6图形化事件分析系统 17四、型号 18蓝盾信息安全技术股份有限公司第#页共18页暫罟中国監JO蓝盾入侵防御系统技术白皮书、 产品需求背景入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问，我已经使用防火墙了， 还需要入侵防御系统吗？答案是肯定 的。入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害 前，检测到入侵攻击，并利用报警与在线防护系统驱逐入

3、侵攻击。在入侵攻击过程中，能减 少入侵攻击所造成的损失。 在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防御被认为是防 火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。有了入侵防御系统，您可以：知道是谁在攻击您的网络知道您是如何被攻击的及时阻断攻击行为知道企业内部网中谁是威胁的减轻重要网段或关键服务器的威胁取得起诉用的法律证据中国篮盾BLUEDD4I OF EHINA蓝盾入侵防御系统技术白皮书蓝盾入侵防御系统2.1概述蓝盾NIP

4、S是一种实时的网络入侵防御和响应系统。它能够实时监控网络传输，自动检 测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告，实时对攻击做出阻断响应，并提供补救措施，最大程度地为网络系统提供安全保障。蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。用户可以实时查看网络中的通讯。可设置监控IP的流量、端口的流量和总流量，有利于管理员更正确地了解分析网络行为。一旦发现可疑行为，蓝盾IPS可以准确地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。蓝盾IPS可以根据用户的设置，将网络信息、分析结果、入侵记录、流

5、量监控等生成报表以邮件形式 发给客户，可供用户查询。蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异常等方式的检测，其中协议分析涵盖了 TCP/IP协议栈从网络层一直到应用层的各种协议的详 细分析和检测，支持的协议包括IP、ICMR TCR UDP Tel net、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了 4-6个固定的 10/100/10

6、00Mbps自适应以太网接口（ 4电或4电2光），最多可以同时保护 3个子网。同时， 蓝盾NIPS入侵防御系统也可以作为 NIDS设备旁路部署，可以同时对 5个子网实施监控。蓝盾NIPS采用专为安全应用度身定做的安全操作系统，可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。中国篮盾ILUEm OF CHINA蓝盾入侵防御系统技术白皮书2.2主要功能编号功能功能描述1支持镜像口监听、透明、 路由、混合部署模式。BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混 合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御（或监控）网络，实时对攻

7、击做出反应，最大程度地为网络提供安全保障。2支持多种协议解码分析能对ARP RPC HTTP FTP、TELNET SMTP?多种应用协议进 行解码分析，能读懂基于这些协议的交互命令和命令执行情况。综合使 用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议 融合分析技术。3完备的分析检测能力BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、B0攻击分析、异常轮廓统计分析、ARP欺骗分 析、UNICODES洞分析、RPCW求分析、TELNET交互格式化分析、极小 碎片检测、缓冲溢岀分析、智能的模式匹配等。综合使用了特征匹配、 协议分析、异常行为检

8、测、关联分析、数据挖掘等方法，采用了自适应 多协议融合分析技术。4强大的攻击特征模式库BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库共有8000 多条，能检测岀绝大多数攻击行为。并且其中的攻击模式库也在不断地 升级、更新。5强大的蠕虫检测能力BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、 冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫，因此在 一定的程度上能解决蠕虫滞后的问题。6实时检测基于服务的攻 击行为BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有 HTTP

9、TELNET SMTP MS SQL DNS等。7有效的异常检测技术有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络 中正常情况下的信息，可以检测网络中的异常情况，自动分析岀各种新 形式的入侵、变种的入侵、系统误用。8违规行为检测功能用户可以定义一些规则，监控内部网络各主机间的连接，保护 一些重要的主机和服务器，对违反规定或不应该岀现的连接，即使还没 发生攻击，系统也会进行报警。9IP处理和碎片攻击检测具有IP处理和碎片攻击检测功能，防止黑客进行各种碎片攻击。10网络流量分析BD-NIPS提供流量分析功能。能统计、分析

10、网络数据流量，发现 异常并及时报警。11灵活的策略设置BD-NIPS检测引擎内置了大约 2600条入侵模式，可以检 测已知的大部分入侵，BD-NIPS同时允许有经验的高级用户自定义入侵 模式，做到量体裁衣，检测用户最为关注的事件。12支持实时系统升级BD-NIPS检测引擎内置有实时的升级模块，可以通过控制中心在线升级检测引擎，而不必停止入侵防御系统的正常工作，从而保证了入 侵防御系统的无间断运行。蓝盾信息安全技术股份有限公司第#页共18页暫曹中国監眉蓝盾入侵防御系统技术白皮书13不断更新的入侵模式新的黑客技术不断涌现，攻击模式需要经常更新；广东天海威 数码技术有限公司将定期地更新对最新攻击手段

11、的识别，及时扩充到入 侵模式库中，最大限度的防范黑客入侵；根据用户的需要，允许有经验 的高级用户自定义入侵规则。14支持远程升级BD-NIPS具有完善的远程升级能力，用户可以在线远程更新攻击 特征库或升级软件模块，补充最新发现的攻击特征，使系统拥有最新的 产品特性。15实时的检测分析、响应能力BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收 集与分析同步进行，反应快速，实时性高。系统可以实时监控网络中的 通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关 数据，实时向管理员告警，以便及时采取措施。16支持多种报警和响应手段BD-NIPS提供多种实时报警和响应手段

12、，报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报警、消息报警等。17多网段检测、集中管理BD-NIPS可以检测用户系统的多个网络。根据用户具体需求，每 个检测引擎可以同时检测多达5个用户网络。18支持分级监控、集中管理BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级 的报警日志可根据日志报警策略一级一级向上汇总，甚至可送到总控制 中心；上级控制中心可管理下级控制中心和下级检测引擎。19具有集管理、监控和分 析功能于一体的图形化 控制台为了确保网络系统的安全，减少入侵防御系统部署、配置、管 理方面的支岀，设计

13、人员经过大量细致的工作，设计岀了支持集管理、监控和分析功能于一体的图形化控制台。20强大的信息记录、查询能力BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息 （可以当作入侵的证据）、入侵警报信息、系统管理记录等。21强大的审计和实用的报表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、 攻击报警数据、管理日志等进行分类统计、关联分析，可以根据用户的 设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询、 生成报表。本系统支持 TXT HTML PDF等多种报表形式。22全面的联动能力BD-NIPS支持BDSEC OPSE（等主流联动协议，能

14、与蓝盾系列产 品（防火墙等）和其它第三方厂家的安全产品实现联动。入侵防御蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜测、DOS/DDO攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通 过与蓝盾防火墙联动、TCPKiller 、发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防御。流量监测蓝盾入侵防御系统技术白皮书系统可对网络流量进行实时监测，对TCP、UDR ICMP FTR P2P等协议及应用进行分析，对造成网络阻塞的源地址进行定位和记录。实时阻挡攻击蓝盾入侵防御系统内嵌蓝盾防火墙及入侵防御系统，无论在何种部署模式下都可以对入侵进行在线实时阻挡。图形化日志分析及报警系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。支持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。数据挖掘及关联分析蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能，能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好应对措施。安全访问蓝盾NIPS设备的以太网口，按功能区分为管理口和业务口。通过用户名/密码、受限的访问IP地址和受限的访问