蓝盾入侵防御系统bdnips技术白皮书.docx

蓝盾入侵防御系统bdnips技术白皮书.docx

《蓝盾入侵防御系统bdnips技术白皮书.docx》由会员分享，可在线阅读，更多相关《蓝盾入侵防御系统bdnips技术白皮书.docx（15页珍藏版）》请在冰豆网上搜索。

蓝盾入侵防御系统bdnips技术白皮书

蓝盾入侵防御〔BD-NIPS〕系统

技术白皮书

蓝盾信息平安技术股份目录

一、产品需求背景

入侵防御系统是近十多年来开展起来的新一代动态平安防技术，它通过对计算机网络或系统中假设干关键点数据的收集，并对其进展分析，从而发现是否有违反平安策略的行为和被攻击的迹象。

也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？

答案是肯定的。

入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与在线防护系统驱逐入侵攻击。

在入侵攻击过程中，能减少入侵攻击所造成的损失。

在被入侵攻击后，收集入侵攻击的相关信息，作为防系统的知识，添参加知识库，增强系统的防能力，防止系统再次受到入侵。

入侵防御被认为是防火墙之后的第二道平安闸门，在不影响网络性能的情况下能对网络进展监听，从而提供对部攻击、外部攻击和误操作的实时保护,大大提高了网络的平安性。

有了入侵防御系统，您可以：

✓知道是谁在攻击您的网络

✓知道您是如何被攻击的

✓及时阻断攻击行为

✓知道企业部网中谁是威胁的

✓减轻重要网段或关键效劳器的威胁

✓取得起诉用的法律证据

二、蓝盾入侵防御系统

4.1概述

蓝盾NIPS是一种实时的网络入侵防御和响应系统。

它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和部的入侵信号。

在系统受到危害之前发出警告，实时对攻击做出阻断响应，并提供补救措施，最大程度地为网络系统提供平安保障。

蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进展，反响快速，实时性高。

用户可以实时查看网络中的通讯。

可设置监控IP的流量、端口的流量和总流量，有利于管理员更正确地了解分析网络行为。

一旦发现可疑行为，蓝盾IPS可以准确地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。

蓝盾IPS可以根据用户的设置，将网络信息、分析结果、入侵记录、流量监控等生成报表以形式发给客户，可供用户查询。

蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复杂的网络构造。

蓝盾NIPS对流经被保护网络的流量进展基于容特征、协议分析以及流量异常等方式的检测，其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。

系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、置或外挂防火墙联动进展整体防御。

蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了4-6个固定的10/100/1000Mbps自适应以太网接口〔4电或4电2光〕，最多可以同时保护3个子网。

同时，蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。

蓝盾NIPS采用专为平安应用度身定做的平安操作系统，可以根据不同的应用进展扩展和裁减，并与上层的应用严密结合，从而能很好的保证设备自身的平安性。

4.2主要功能

编号

功能

功能描述

1

支持镜像口监听、透明、路由、混合部署模式。

   BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御（或监控）网络，实时对攻击做出反响，最大程度地为网络提供平安保障。

2

支持多种协议解码分析

   能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进展解码分析，能读懂基于这些协议的交互命令和命令执行情况。

综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。

3

完备的分析检测能力

   BD-NIPS具有完备的功能，主要的功能包括：

TCP流重组，端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。

综合使用了特征匹配、协议分析、异常行为检测、关联分析、数据挖掘等方法，采用了自适应多协议融合分析技术。

4

强大的攻击特征模式库

   BD-NIPS置包括拒绝效劳攻击、TELNET等攻击模式库共有8000多条，能检测出绝大多数攻击行为。

并且其中的攻击模式库也在不断地升级、更新。

5

强大的蠕虫检测能力

     BD-NIPS拥有强大的蠕虫检测隔离能力。

置有1000多条蠕虫检测规那么，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。

同时通过异常检测技术能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。

6

实时检测基于效劳的攻击行为

   BD-NIPS提供了专门模块检测分析针对基于效劳协议的攻击行为。

主要的效劳有HTTP、TELNET、SMTP、MSSQL、DNS等。

7

有效的异常检测技术

   有效的异常检测与统计检测等检测方法能降低漏报率。

BD-NIPS的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。

8

违规行为检测功能

   用户可以定义一些规那么，监控部网络各主机间的连接，保护一些重要的主机和效劳器，对违反规定或不应该出现的连接，即使还没发生攻击，系统也会进展报警。

9

IP处理和碎片攻击检测

   具有IP处理和碎片攻击检测功能，防止黑客进展各种碎片攻击。

10

网络流量分析

   BD-NIPS提供流量分析功能。

能统计、分析网络数据流量，发现异常并及时报警。

11

灵活的策略设置

      BD-NIPS检测引擎置了大约2600条入侵模式，可以检测的大局部入侵，BD-NIPS同时允许有经历的高级用户自定义入侵模式，做到量体裁衣，检测用户最为关注的事件。

12

支持实时系统升级

   BD-NIPS检测引擎置有实时的升级模块，可以通过控制中心在线升级检测引擎，而不必停顿入侵防御系统的正常工作，从而保证了入侵防御系统的无连续运行。

13

不断更新的入侵模式

   新的黑客技术不断涌现，攻击模式需要经常更新；天海威数码技术将定期地更新对最新攻击手段的识别，及时扩大到入侵模式库中，最大限度的防黑客入侵；根据用户的需要，允许有经历的高级用户自定义入侵规那么。

14

支持远程升级

   BD-NIPS具有完善的远程升级能力，用户可以在线远程更新攻击特征库或升级软件模块，补充最新发现的攻击特征，使系统拥有最新的产品特性。

15

实时的检测分析、响应能力

   BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进展，反响快速，实时性高。

系统可以实时监控网络中的通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关数据，实时向管理员告警，以便及时采取措施。

16

支持多种报警和响应手段

   BD-NIPS提供多种实时报警和响应手段，报警信息可以通过网络、有线、无线等多种方式通知管理员。

报警方式有控制中心声音报警、控制中心图形报警、电子报警、短信报警、消息报警等。

17

多网段检测、集中管理

   BD-NIPS可以检测用户系统的多个网络。

根据用户具体需求，每个检测引擎可以同时检测多达5个用户网络。

18

支持分级监控、集中管理

   BD-NIPS支持在大型网络中采用分级监控、集中管理模式。

下级的报警日志可根据日志报警策略一级一级向上汇总，甚至可送到总控制中心；上级控制中心可管理下级控制中心和下级检测引擎。

19

具有集管理、监控和分析功能于一体的图形化控制台

   为了确保网络系统的平安，减少入侵防御系统部署、配置、管理方面的支出，设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。

20

强大的信息记录、查询能力

BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息〔可以当作入侵的证据〕、入侵警报信息、系统管理记录等。

21

强大的审计和实用的报表功能

BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、攻击报警数据、管理日志等进展分类统计、关联分析，可以根据用户的设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询、生成报表。

本系统支持TXT、HTML、PDF等多种报表形式。

22

全面的联动能力

   BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产品〔防火墙等〕和其它第三方厂家的平安产品实现联动。

入侵防御

蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜想、DOS/DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进展实时检测及报警，并通过与蓝盾防火墙联动、TCPKiller、发送、平安中心显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进展动态防御。

流量监测

系统可对网络流量进展实时监测，对TCP、UDP、ICMP、FTP、P2P等协议及应用进展分析，对造成网络阻塞的源地址进展定位和记录。

实时阻挡攻击

蓝盾入侵防御系统嵌蓝盾防火墙及入侵防御系统，无论在何种部署模式下都可以对入侵进展在线实时阻挡。

图形化日志分析及报警

系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。

支持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。

数据挖掘及关联分析

蓝盾NIPS入侵防御系统具有数据挖掘及关联规那么智能匹配等高级关联分析功能，能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好应对措施。

平安访问

蓝盾NIPS设备的以太网口，按功能区分为管理口和业务口。

通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能，确保用户能够平安访问SecEngine设备管理口。

支持受限的访问协议：

HTTP、HTTPS、SSH和SNMP。

日志管理及查询

蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。

系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。

假设输出到远程日志主机，需进展相应的配置。

日志文件可以以CSV格式导出；可以自动循环日志记录，也可以用户主动删除。

4.3功能特点

固化、稳定、高效的检测引擎及稳定的运行性能

BD-NIPS检测引擎是固化的，采用标准的工业机箱构造，可以方便的放置到标准机柜中，便于机房管理人员的管理。

检测引擎的操作系统是BDOS2.0，是蓝盾信息平安技术股份自主开发的蓝盾防火墙操作系统的改良版。

检测引擎系统软件已经预先配置完毕；检测引擎建有蓝盾防火墙，自身平安性很高，可以防针对检测引擎的攻击。

蓝盾入侵防御系统是纯硬件架构，含检测与分析功能：

支持事件统计分析，协议异常检测，可有效防止各种攻击欺骗。

可检测8000类以上的攻击。

蓝盾入侵防御系统采用存零拷贝、零系统调用以及高性能网络数据包处理技术，可保持稳定的运行性能。

检测模式支持和协议解码分析能力

1）同时支持基于主机和网络两种检测模式

BD-NIPS同时支持基于主机和网络两种检测模式，既有检测网络数据的硬件检测引擎，又有安装在各主机上的主机代理检测客户端软件，能够同时监控主机和网络的入侵信号，在系统受到危害之前发出警告，实时对攻击作出反响，最大程度地为主机和网络提供平安保障。

2）支持多种协议解码分析

能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进展解码分析，能读懂基于这些协议的交互命令和命令执行情况。

综合使用了特征匹配、协议分析和异常行