分享

国产入侵检测系统案例

一、背景
随着网络安全尤其是黑客技术的不断发展,用户面临的安全隐患和安全管理问题也越来越多,安全威胁尤其是多种技术混杂在一起的混合威胁正在飞速增长,如蠕虫病毒、僵尸网络、木马后门、间谍软件、DDoS攻击、网络资源滥用以及基于应用的新型威胁等,极大的困扰着用户。随着云计算、物联网、智慧城市、移动互联网等新一代应用和技术的广泛应用,在促进应用创新的同时,也将带来严重的信息安全隐患。
二、产品简介
捷普入侵检测系统是一款基于软硬件可控的入侵检测系统,硬件平台核心处理器采用了国产飞腾和国产海光处理器,搭配国产麒麟操作系统。捷普入侵检测系统采用新一代的多样性智能检测方法、规则关联分析和数据挖掘技术,能够实时检测包括溢出击、RPC 击、WEBCGI 攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等各种网络攻击行为,并可分析发现潜在的未知 APT 攻击以及违反企业安全策略的 P2P 下载、IM 即时通讯、网络游戏等资源滥用行为,通过多样化告警方式,及时向管理员发送预警信息,能够与防火墙等网关防护产品形成纵深防御体系为用户环境提供完整的立体式网络安全检测服务。
三、业务架构
0f3ce1a931ee4c74bb36a08a23613c05.png.jpg
功能特点
  • 它是一种积极的入侵检测和组织系统
IDS的设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时检测,并可与JUMP系列防火墙进行联动,阻断恶意流量的继续危害。
  • 它对网络行为进行有效的审计
内容安全是针对网络行为进行监控的模块,像摄像头一样记录下网络上的行为操作。记录的内容包括邮件信息记录,FTP信息记录,Telnet信息记录。并且对访问的违规站点及网络应用做出统计,对用户发送和接收的邮件、上传和访问网站的内容、使用ftp上传和下载的文件进行敏感信息的检测, 同时还对网络中传输的文件进行扫描,对病毒文件做出预警(内存为4G或4G以下的平台不支持内容安全功能)。
  • 它对IPv6网络环境的全面支持
入侵检测系统有效的监控IPv4及IPv6的网络环境,对IPv6的入侵行为进行检测。随着网络的发展,IPv6的网络环境也会越来越多,入侵检测可以更好保护用户的各种复杂网络环境。
  • 旁路接入方式,方便安全
入侵检测系统以旁路的方式接入网络,单线接入,不需要对网络做其它配置修改。IDS的旁路接入方式还可以使自身更加隐蔽,避免针对IDS本身的攻击。
、产品优势
  • 检测全面,IPv6支持,配置简单
捷普入侵检测系统旁路部署在网络中,支持IPv4及IPv6网络环境。它通过综合采用标记检测、协议分析、后门检测、流量签名、欺骗检查、链路层检查、连接风暴检测、内容分析和异常行为分析等相结合的多种检测技术,提供准确的检测和阻断,以发现已知和未知攻击,使需要管理人员干预的程度最小化,甚至可以做到“即插即用”和“零配置”,即系统初次启动便会自动配置好常用的工作模式,有效减轻管理员对攻击报警处理的压力。
  • 强大的攻击检测规则库
捷普入侵检测系统全面覆盖Windows、Linux、Unix、Solaris、AIX、BSD等操作系统,实现了对多种常见攻击的识别和多种流行蠕虫病毒的检测,并提供规则库的自动在线升级功能。通过使用捷普安全实验室精心设计的7000多条规则,能够有效的对各种攻击进行检测。
  • 丰富的攻击行为检测
捷普入侵检测系统检测规则由捷普安全实验室精心挑选,同时,完全依靠规则检测也是不够的,该系统把通过统计等手段才能检测出的各种攻击行为都纳入其中。很好的解决了以下一些类型的攻击检查:
  • Arp相关类
  • 后门类
  • 分片相关类
  • 传输层相关类
  • 会话层相关类
  • 数据包解码相关类
  • RPC解码相关类
  • 扫描相关类
  • 即时通信类
  • P2P类
  • Web攻击类
  • 游戏事件类
  • 邮件类
  • 病毒事件类
  • 异常流量类
  • Dos/DDos类
  • 远控木马类
系统提供了以上各种类型的配置接口。对每一种类型都可以单独配置其生效与否,动作等参数。
  • 强大的应用行为规则库
捷普入侵防御系统全面覆盖基本服务,HTTP应用,视频网站,P2P下载,流媒体,网络游戏,即时通讯,股票,网上银行,网络电话,网络存储,网页邮箱,软件更新,远程控制,网络货币,网上支付,生活服务,移动应用等应用类型,包含应用特征2500多个。
  • 丰富的IM/P2P/网络游戏/网络视频检测功能
捷普入侵检测系统能够检测和过滤腾讯QQ、web微信、YY语音等IM即时聊天软件流量;可以检测常见的P2P协议流量,包括BT、电驴、电骡、vagaa和迅雷等;可以检测联众、边锋游戏、征途和三国杀等常见网络游戏;可以检测优酷视频、土豆视频、新浪视频、腾讯视频、网易视频、凤凰视频、奇艺网视频和中国网络电视等各种基于HTTP协议的网络视频点播。
  • 有针对性的网络行为监控能力
捷普入侵检测系统能够对协议还原及回放(可还原HTTP,SMTP,POP3,IMAP,FTP,TELNET 协议),以及文件还原后的病毒扫描,更加有效的监控网络活动行为。
  • 全面深入的应用层协议识别与分析
捷普入侵检测系统全面深入的协议识别与分析技术能够分析近100种应用层协议,包括HTTP、FTP、SMTP、POP3等,极大提高检测的准确性,降低误报率;能够识别100多种包括木马、后门、IM即时聊天、网络游戏、网络视频在内的应用层协议,不仅可以更有效的检测通过动态端口或智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。
  • 先进的规则分析技术
捷普入侵检测系统采用基于统计的挖掘技术,通过挖掘发现事件不同维度的关系。统计挖掘分析是基于网络引擎设备提供的信息采集报警,在此基础上实现入侵信息和流量的统计挖掘,效率和效果均能够满足网络异常监测的需求。
  • 智能化的异常判断发现技术,检测未知攻击
捷普入侵检测系统通过对网络状态的监测,掌握网络正常状态模型。该系统通过监测一段时间内的网络状态,建立起一个基于时间的正常流量模型。该模型会在数据库中对被监测网络的各个时间段建立一个动态流量基线,当某个时段,某个状态与当前基线不符时,会给出一个异常告警。随着时间积累,告警会逐步升级。通过这种智能化的异常学习能力,可以更加精确地掌握网络的实际状态,为判断异常提供有力的依据,并协助检测出潜在的未知网络攻击。
  • 旁路接入方式
捷普入侵检测系统部署方式简单,能够快速部署在几乎所有的网络环境下,实现从企业网络核心至边缘及分支机构的全面检测,适用于不同环境不同企业的安全需求。
  • 丰富灵活的规则响应方式
捷普入侵检测系统提供丰富的响应方式,除告警外,还提供实时显示、记入数据库、邮件报警、与防火墙联动阻断、发送TCP Reset、发送ICMP不可达信息等多种响应方式。每条系统规则都给出了缺省的最佳响应方式,系统管理员根据当前网络的具体情况,可以对每条规则的响应方式进行修改,以更好的适应实际网络的需求。
  • 严格的用户分级管理和配置
捷普入侵检测系统的用户根据操作权限的不同,可分为系统管理员、操作审计员、日志管理员。其中,Web UI管理员通过登录控制管理中心,完成用户管理工作;操作审计员可以对用户的操作行为进行查看;日志管理员能够查询、备份、恢复、清除、维护数据库里的日志信息,并生成和打印各种报表。
  • 优异的产品性能和卓越的高可靠性
捷普入侵检测系统专门设计了可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和高效率。
捷普入侵检测系统支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
捷普入侵检测系统运行在特别定制的操作系统上,在提供给网络引擎强健的性能与稳定性的同时,本身具备了超强的安全性,系统内各组件通过强加密的SSL安全通道进行通讯,防止窃听。
  • 详尽的安全和日志报表
捷普入侵检测系统提供了自动和手动两种报表类型,每种类型又依次分为日报表、周报表、月报表、年报表和自定义时间段报表,使用户可以分别查看该时间段内发生攻击的综合和详细信息。报表以图形和文字相结合的方式呈现给用户,直观易懂。
除此之外,系统还支持日志报表邮件告警,使管理员无论身处何地,都能对网络安全状况有准确把握。
  • 方便易用的系统管理
捷普入侵检测系统基于图形化的管理软件提供了友好的全中文人机界面和系统帮助,全面支持B/S管理方式,通过浏览器可以对系统进行全功能配置,免除安装管理端的繁琐过程。网络引擎支持命令行配置和远程SSH管理。系统支持分布式部署,集中式管理,支持告警信息的集中式分析和全局的流量分析。
从网络引擎部署到报表系统,从攻击告警到日志维护,捷普入侵检测系统支持“即插即用”和“零配置”技术。管理员需要日常进行的操作可由系统定时自动后台运行,极大的降低了维护费用与管理员的工作强度。
支持系统引擎、规则库、病毒库的升级以及离线升级等升级方式,使捷普入侵检测系统提供最前沿的安全保障。
  • 病毒检测功能
捷普入侵检测系统内置病毒检测引擎,对网络流量中的病毒进行实时检测,即时发现病毒在网络中的传播迹象,并产生高危报警。
  • DDOS攻击检测功能
捷普入侵防御系统能够有效地检测常见的DDOS攻击手段,例如SYN Flood攻击、UDP Flood攻击、放大攻击等。
六、产品参数
设备型号
主要指标
性能参数(默认)
JIDSG-1620
1U标准机架
多核架构(FT-1500A 4核)
6个千兆电口
2个千兆光口
单电源
网络层吞吐:双向4.8G
新建会话数:5万/秒
最大并发会话数:300万

JIDSG-1640
1U标准机架
多核架构(FT-1500A 4核)
支持3个扩展槽位
6个千兆电口
4个千兆光口
单电源
网络层吞吐:双向4.8G
新建会话数:5万/秒
最大并发会话数:300万

七、成功案例
某市应急管理局缺少对内部整个网络的安全状况进行全面监控,无法实时监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时检测,。通过部署捷普入侵检测系统,能够实时检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等各种网络攻击行为,并可分析发现潜在的未知 APT 攻击以及违反企业安全策略的 P2P 下载、IM 即时通讯、网络游戏等资源滥用行为,通过多样化告警方式,及时向管理员发送预警信息,时刻掌握单位的重要信息资产以及网络整体的安全状态。

应用单位
西安交大捷普网络科技有限公司



版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服