入侵检测系统通用技术要求.doc

1、入侵检测系统技术要求千兆入侵检测系统编号项目要求备注1.机种千兆机架式硬件设备；2.监听口要求/数量多模光纤(FDDI)模块2；3.语言支持要求支持全中文的操作界面以及中文详细的解决方案报告。4.入侵检测能力支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯；支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警；内置智能攻击结果分析，在入侵检测的平台上，无需使用外部的工具（如扫描器）就能够准确检测和验证攻击行为成功与否；产品的知识库全面，至少能对1800种以上的攻击行为进行检测，规则库检测攻击的性能领先、规则更新快，至少能够做到一周一次检测模块的更新；升级过

2、程不停止监测过程；事件库与CVE兼容；支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live),所有部件均支持离线升级,所有部件均支持定时自动在线升级，引擎支持串口，控制台两种升级方式；在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控，并进行方便直观的图形输出；能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放；支持对P2P协议的解码和流量排序，包括（BitTorrent、MSN等）；5.性能要求每秒并发TCP会话数200000；最大并发TCP会话数500000；最大处理能力1.2Gb；6.管理能力产品的所有的告警和流量信息都可以实时的汇

3、总到监控中心，支持集中式的探测器管理、监控和入侵检测分析；支持控制台与探测器的双向连接；控制台支持任意层次的级联部署，上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台，保持整个系统的完整统一性；能够提供多种响应方式，包括控制台告警、EMAIL、记录、切断连接、以及执行用户自定义行为。支持主流防火墙联动。7.日志与报告能力支持日志缓存，在探测引擎的网络完全断开的情况下，探测引擎仍然会将检测到的攻击行为在探测器本地保存，等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况；具备对反IDS 攻击技术的防护能力，如stick类攻击、Ma

4、n-in-Middle等报表系统可以自动生成各种形式的攻击统计和流量统计报表报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便；对发现的攻击行为应该记录到典型数据库中例如SQL Server等，并提供基于时间、事件、风险级别等组合的分析功能，并且可以产生各种图片、文字的报告形式。无需安装任何第三方软件支持输出到通用的HTML、JPG、WORD、Excle等格式文件；8.必须满足的国家相关标准及规范通过以下国家权威部门的认证：包括公安部的销售许可证、国家信息安全测评认证中心认证、涉密信息系

5、统产品检测证书以及军用信息安全产品认证；百兆入侵检测系统编号项目要求备注1机种百兆机架式硬件设备；2监听口/数量10/100Base-TX，总数2；3语言支持要求支持全中文的操作界面以及中文详细的解决方案报告4入侵检测能力支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯；支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警；内置智能攻击结果分析，在入侵检测的平台上，无需使用外部的工具（如扫描器）就能够准确检测和验证攻击行为成功与否；产品的知识库全面，至少能对1800种以上的攻击行为进行检测，规则库检测攻击的性能领先、规则更新快，至少能够做到一周一次检测模块

6、的更新；升级过程不停止监测过程；事件库与CVE兼容；支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live),所有部件均支持离线升级,所有部件均支持定时自动在线升级，引擎支持串口，控制台两种升级方式；在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控，并进行方便直观的图形输出能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放；支持对P2P协议的解码和流量排序，包括（BitTorrent、MSN等）5性能要求每秒并发TCP会话数100000；最大并发TCP会话数200000；最大包捕获和处理能力200Mb；6、管理能力产品的所有的告警和流量信

7、息都可以实时的汇总到监控中心，支持集中式的探测器管理、监控和入侵检测分析；支持控制台与探测器的双向连接；控制台支持任意层次的级联部署，上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台，保持整个系统的完整统一性；能够提供多种响应方式，包括控制台告警、EMAIL、记录、切断连接、以及执行用户自定义行为。支持主流防火墙联动。7日志与报告能力支持日志缓存，在探测引擎的网络完全断开的情况下，探测引擎仍然会将检测到的攻击行为在探测器本地保存，等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况；具备对反IDS 攻击技术的防护能力，如stic

8、k类攻击、Man-in-Middle等报表系统可以自动生成各种形式的攻击统计和流量统计报表报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便；对发现的攻击行为应该记录到典型数据库中例如SQL Server等，并提供基于时间、事件、风险级别等组合的分析功能，并且可以产生各种图片、文字的报告形式。无需安装任何第三方软件支持输出到通用的HTML、JPG、WORD、Excle等格式文件；8必须满足的国家相关标准及规范通过以下国家权威部门的认证：包括公安部的销售许可证、国家信息安全测评认证中心认证、涉密信息系统产品检测证书以及军用信息安全产品认证；注：在设备的规格和技术要求中标注号项为必须满足的要求，任何一项不满足即为废标。