藍盾入侵防御系統(tǒng)BD-NIPS技術白皮書

1、中國施盾BLUEDON OF CHINA藍盾入侵防御（BD-NIPS ）系統(tǒng)技術白皮書藍盾信息安全技術股份有限公司目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 產品需求背景 3 HYPERLINK l bookmark4 o Current Document 藍盾入侵防御系統(tǒng) 4概述4主要功能5功能特點8固化、穩(wěn)定、高效的檢測引擎及穩(wěn)定的運行性 能 8檢測模式支持和協(xié)議解碼分析能力 8檢測能力 9策略設置和升級能力11 HYPERLINK l bookmark50 o Current Document 響應能力 12管理能力

2、 13審計、取證能力 14聯(lián)動協(xié)作能力 15 HYPERLINK l bookmark70 o Current Document 產品優(yōu)勢 16 HYPERLINK l bookmark72 o Current Document 強大的檢測引擎 16 HYPERLINK l bookmark74 o Current Document 全面的系統(tǒng)規(guī)則庫和自定義規(guī)則16 HYPERLINK l bookmark76 o Current Document 數(shù)據(jù)挖掘及關聯(lián)分析功能16 HYPERLINK l bookmark78 o Current Document 安全訪問16 HYPERLINK

3、l bookmark80 o Current Document 日志管理及查詢 17 HYPERLINK l bookmark82 o Current Document 圖形化事件分析系統(tǒng) 17型號 18產品需求背景入侵防御系統(tǒng)是近十多年來發(fā)展起來的新一代動態(tài)安全防范技術，它通過對計算機網(wǎng)絡 或系統(tǒng)中若干關鍵點數(shù)據(jù)的收集，并對其進行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和 被攻擊的跡象。也許有人會問，我已經使用防火墻了，還需要入侵防御系統(tǒng)嗎？答案是肯定 的。入侵防御是對防火墻及其有益的補充，入侵防御系統(tǒng)能使在入侵攻擊對系統(tǒng)發(fā)生危害 前，檢測到入侵攻擊，并利用報警與在線防護系統(tǒng)驅逐入侵攻擊。在入

4、侵攻擊過程中，能減 少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知 識，添加入知識庫內，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵防御被認為是防 火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)聽，從而提供對內 部攻擊、外部攻擊和誤操作的實時保護,大大提高了網(wǎng)絡的安全性。有了入侵防御系統(tǒng)，您可以：,知道是誰在攻擊您的網(wǎng)絡,知道您是如何被攻擊的,及時阻斷攻擊行為,知道企業(yè)內部網(wǎng)中誰是威脅的,減輕重要網(wǎng)段或關鍵服務器的威脅,取得起訴用的法律證據(jù)藍盾入侵防御系統(tǒng)概述藍盾NIPS是一種實時的網(wǎng)絡入侵防御和響應系統(tǒng)。它能夠實時監(jiān)控網(wǎng)絡傳輸，自動檢 測

5、可疑行為，分析來自網(wǎng)絡外部和內部的入侵信號。在系統(tǒng)受到危害之前發(fā)出警告，實時對 攻擊做出阻斷響應，并提供補救措施，最大程度地為網(wǎng)絡系統(tǒng)提供安全保障。藍盾NIPS能夠全面、實時地監(jiān)測網(wǎng)段中的所有數(shù)據(jù)傳輸，信息收集與分析同步進行，反 應快速，實時性高。用戶可以實時查看網(wǎng)絡中的通訊?？稍O置監(jiān)控P的流量、端口的流量和 總流量，有利于管理員更正確地了解分析網(wǎng)絡行為。一旦發(fā)現(xiàn)可疑行為，藍盾IPS可以準確 地顯示入侵行為及其相關數(shù)據(jù)，實時向管理員以多種方式告警，以利及時采取措施。藍盾IPS 可以根據(jù)用戶的設置，將網(wǎng)絡信息、分析結果、入侵記錄、流量監(jiān)控等生成報表以郵件形式 發(fā)給客戶，可供用戶查詢。藍盾NIPS

6、設備提供旁路、透明、網(wǎng)關以及混合接入等靈活多樣的部署方式，適合各種復 雜的網(wǎng)絡結構。藍盾NIPS對流經被保護網(wǎng)絡的流量進行基于內容特征、協(xié)議分析以及流量異 常等方式的檢測，其中協(xié)議分析涵蓋YTCP/IP協(xié)議棧從網(wǎng)絡層一直到應用層的各種協(xié)議的詳 細分析和檢測，支持的協(xié)議包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系統(tǒng)對檢測到的異 常和攻擊事件記入攻擊事件數(shù)據(jù)庫，并且可以配置和其他交換機、內置或外掛防火墻聯(lián)動進 行整體防御。藍盾NIPS入侵防御系統(tǒng)采用標準的19英寸1-2U機箱；提供了 4-6個固定的 10/100/1000Mbps自適應以太網(wǎng)接口（4電或4電2光），最多可以同時

7、保護3個子網(wǎng)。同時， 藍盾NIPS入侵防御系統(tǒng)也可以作為NIDS設備旁路部署，可以同時對5個子網(wǎng)實施監(jiān)控。藍盾NIPS采用專為安全應用度身定做的安全操作系統(tǒng)，可以根據(jù)不同的應用進行擴展和裁 減，并與上層的應用緊密結合，從而能很好的保證設備自身的安全性。主要功能1支持鏡像口監(jiān)聽、透明、 路由、混合部署模式。BD-NIPS同時多種部署模式，支持鏡像口透明、路由、監(jiān)聽、混 合部署模式，支持在線阻斷和旁路阻斷，能夠同時部署多個防御（或監(jiān) 控）網(wǎng)絡，實時對攻擊做出反應，最大程度地為網(wǎng)絡提供安全保障。2支持多種協(xié)議解碼分析能對ARP、RPC、HTTP、FTP、TELNET、SMTP等多種應用協(xié)議進 行解碼

8、分析，能讀懂基于這些協(xié)議的交互命令和命令執(zhí)行情況。綜合使 用了特征匹配、協(xié)議分析和異常行為檢測等方法，采用了自適應多協(xié)議 融合分析技術。3完備的分析檢測能力BD-NIPS具有完備的功能，主要的功能包括：TCP流重組，端口 掃描檢測、IP碎片重組、BO攻擊分析、異常輪廓統(tǒng)計分析、ARP欺騙分 析、UNICODE漏洞分析、RPC請求分析、TELNET交互格式化分析、極小 碎片檢測、緩沖溢出分析、智能的模式匹配等。綜合使用了特征匹配、 協(xié)議分析、異常行為檢測、關聯(lián)分析、數(shù)據(jù)挖掘等方法，采用了自適應 多協(xié)議融合分析技術。4強大的攻擊特征模式庫BD-NIPS內置包括拒絕服務攻擊、TELNET等攻擊模式庫

9、共有8000 多條，能檢測出絕大多數(shù)攻擊行為。并且其中的攻擊模式庫也在不斷地 升級、更新。5強大的蠕蟲檢測能力BD-NIPS擁有強大的蠕蟲檢測隔離能力。內置有1000多條 蠕蟲檢測規(guī)則，可實時檢測各種蠕蟲，如SQL蠕蟲王、沖擊波、震蕩波、 沖擊波殺手等蠕蟲。同時通過異常檢測技術能成功檢測新蠕蟲，因此在 一定的程度上能解決蠕蟲滯后的問題。6實時檢測基于服務的攻 擊行為BD-NIPS提供了專門模塊檢測分析針對基于服務協(xié)議的攻擊行 為。主要的服務有 HTTP、TELNET、SMTP、MS SQL、DNS 等。7有效的異常檢測技術有效的異常檢測與統(tǒng)計檢測等檢測方法能降低漏報率。BD-NIPS 的異常輪

10、廓統(tǒng)計分析技術，使入侵防御系統(tǒng)具有自學習能力，根據(jù)網(wǎng)絡 中正常情況下的信息，可以檢測網(wǎng)絡中的異常情況，自動分析出各種新8違規(guī)行為檢測功能用戶可以定義一些規(guī)則，監(jiān)控內部網(wǎng)絡各主機間的連接，保護 一些重要的主機和服務器，對違反規(guī)定或不應該出現(xiàn)的連接，即使還沒 發(fā)生攻擊，系統(tǒng)也會進行報警。9IP處理和碎片攻擊檢測具有IP處理和碎片攻擊檢測功能，防止黑客進行各種碎片攻擊。10網(wǎng)絡流量分析BD-NIPS提供流量分析功能。能統(tǒng)計、分析網(wǎng)絡數(shù)據(jù)流量，發(fā)現(xiàn)11靈活的策略設置BD-NIPS檢測引擎內置了大約2600條入侵模式，可以檢 測已知的大部分入侵，BD-NIPS同時允許有經驗的高級用戶自定義入侵 模式，做

11、到量體裁衣，檢測用戶最為關注的事件。12支持實時系統(tǒng)升級BD-NIPS檢測引擎內置有實時的升級模塊，可以通過控制中心在 線升級檢測引擎，而不必停止入侵防御系統(tǒng)的正常工作，從而保證了入 侵防御系統(tǒng)的無間斷運行。中國監(jiān)博,BLUEDON OF CHINA藍盾入侵防御系統(tǒng)技術白皮書13不斷更新的入侵模式新的黑客技術不斷涌現(xiàn)，攻擊模式需要經常更新；廣東天海威 數(shù)碼技術有限公司將定期地更新對最新攻擊手段的識別，及時擴充到入 侵模式庫中，最大限度的防范黑客入侵；根據(jù)用戶的需要，允許有經驗 的高級用戶自定義入侵規(guī)則。14支持遠程升級BD-NIPS具有完善的遠程升級能力，用戶可以在線遠程更新攻擊 特征庫或升級

12、軟件模塊，補充最新發(fā)現(xiàn)的攻擊特征，使系統(tǒng)擁有最新的15實時的檢測分析、響應 能力BD-NIPS能夠全面、實時地監(jiān)測網(wǎng)段中的所有數(shù)據(jù)傳輸，信息收 集與分析同步進行，反應快速，實時性高。系統(tǒng)可以實時監(jiān)控網(wǎng)絡中的 通訊，一旦發(fā)現(xiàn)可疑行為，BD-NIPS可以準確地顯示入侵行為及其相關16支持多種報警和響應手 段BD-NIPS提供多種實時報警和響應手段，報警信息可以通過網(wǎng) 絡、有線、無線等多種方式通知管理員。報警方式有控制中心聲音報警、17多網(wǎng)段檢測、集中管理BD-NIPS可以檢測用戶系統(tǒng)的多個網(wǎng)絡。根據(jù)用戶具體需求，每18支持分級監(jiān)控、集中管 理BD-NIPS支持在大型網(wǎng)絡中采用分級監(jiān)控、集中管理模式

13、。下級 的報警日志可根據(jù)日志報警策略一級一級向上匯總，甚至可送到總控制19具有集管理、監(jiān)控和分 析功能于一體的圖形化 控制臺為了確保網(wǎng)絡系統(tǒng)的安全，減少入侵防御系統(tǒng)部署、配置、管 理方面的支出，設計人員經過大量細致的工作,設計出了支持集管理、 監(jiān)控和分析功能于一體的圖形化控制臺。20強大的信息記錄、查詢BD-NIPS有強大的信息記錄、查詢能力，這些信息包括原始的網(wǎng)絡信息21強大的審計和實用的報 表功能BD-NIPS具有強大的審計功能，能對檢測到的各種數(shù)據(jù)，包括原始數(shù)據(jù)、 攻擊報警數(shù)據(jù)、管理日志等進行分類統(tǒng)計、關聯(lián)分析，可以根據(jù)用戶的 設置，將網(wǎng)絡信息、分析結果、入侵記錄存儲到數(shù)據(jù)庫中，可供查詢

14、、22全面的聯(lián)動能力BD-NIPS支持BDSEC、OPSEC等主流聯(lián)動協(xié)議，能與藍盾系列產 品（防火墻等）和其它第三方廠家的安全產品實現(xiàn)聯(lián)動。入侵防御藍盾入侵防御系統(tǒng)可以對緩沖區(qū)溢出、SQL注入、暴力猜測、DOS/DDOS攻擊、掃描探 測、蠕蟲病毒、木馬后門、間諜軟件等各類黑客攻擊和惡意流量進行實時檢測及報警，并通 過與藍盾防火墻聯(lián)動、TCP Killer、發(fā)送郵件、安全中心顯示、日志數(shù)據(jù)庫記錄、打印機輸 出、運行用戶自定義命令等方式進行動態(tài)防御。流量監(jiān)測系統(tǒng)可對網(wǎng)絡流量進行實時監(jiān)測，對TCP、UDP、ICMP、FTP、P2P等協(xié)議及應用進行分 析，對造成網(wǎng)絡阻塞的源地址進行定位和記錄。實時阻

15、擋攻擊藍盾入侵防御系統(tǒng)內嵌藍盾防火墻及入侵防御系統(tǒng)，無論在何種部署模式下都可以對入 侵進行在線實時阻擋。圖形化日志分析及報警系統(tǒng)支持攻擊事件輸出到數(shù)據(jù)庫并提供查詢、統(tǒng)計、圖形化分析以及報表輸出功能。支 持對系統(tǒng)日志、告警日志和操作日志的多樣化管理和查詢和多種格式導出。數(shù)據(jù)挖掘及關聯(lián)分析藍盾NIPS入侵防御系統(tǒng)具有數(shù)據(jù)挖掘及關聯(lián)規(guī)則智能匹配等高級關聯(lián)分析功能，能從 無序的低級別的端口掃描及輕量級入侵企圖中挖掘出入侵事件的前兆，通知網(wǎng)絡管理員做好 應對措施。安全訪問藍盾NIPS設備的以太網(wǎng)口，按功能區(qū)分為管理口和業(yè)務口。通過用戶名/密碼、受限的 訪問IP地址和受限的訪問協(xié)議以及藍盾NIPS設備自身

16、的防DoS/DDoS功能，確保用戶能夠 安全訪問SecEngine設備管理口。支持受限的訪問協(xié)議：HTTP、HTTPS、SSH和SNMP。日志管理及查詢藍盾NIPS設備支持對系統(tǒng)日志、告警日志和操作日志的多樣化管理和查詢。系統(tǒng)日志、 操作日志可以輸出到硬盤日志文件、數(shù)據(jù)庫和遠程syslog日志主機。若輸出到遠程日志主機， 需進行相應的配置。日志文件可以以CSV格式導出；可以自動循環(huán)日志記錄，也可以用戶主 動刪除。功能特點固化、穩(wěn)定、高效的檢測引擎及穩(wěn)定的運行性能BD-NIPS檢測引擎是固化的，采用標準的工業(yè)機箱結構，可以方便的放置到標準機柜中， 便于機房管理人員的管理。檢測引擎的操作系統(tǒng)是BD

17、OS2.0，是藍盾信息安全技術股份有限 公司自主開發(fā)的藍盾防火墻操作系統(tǒng)的改進版。檢測引擎系統(tǒng)軟件已經預先配置完畢；檢測 引擎內建有藍盾防火墻，自身安全性很高，可以防范針對檢測引擎的攻擊。藍盾入侵防御系統(tǒng)是純硬件架構，含檢測與分析功能：支持事件統(tǒng)計分析，協(xié)議異常檢 測，可有效防止各種攻擊欺騙。可檢測8000類以上的攻擊。藍盾入侵防御系統(tǒng)采用內存零 拷貝、零系統(tǒng)調用以及高性能網(wǎng)絡數(shù)據(jù)包處理技術，可保持穩(wěn)定的運行性能。檢測模式支持和協(xié)議解碼分析能力1）同時支持基于主機和網(wǎng)絡兩種檢測模式BD-NIPS同時支持基于主機和網(wǎng)絡兩種檢測模式，既有檢測網(wǎng)絡數(shù)據(jù)的硬件檢測引擎， 又有安裝在各主機上的主機代理檢

18、測客戶端軟件，能夠同時監(jiān)控主機和網(wǎng)絡的入侵信號，在 系統(tǒng)受到危害之前發(fā)出警告，實時對攻擊作出反應，最大程度地為主機和網(wǎng)絡提供安全保障。2）支持多種協(xié)議解碼分析能對ARP、RPC、HTTP、FTP、TELNET、SMTP等多種應用協(xié)議進行解碼分析，能讀懂基于 這些協(xié)議的交互命令和命令執(zhí)行情況。綜合使用了特征匹配、協(xié)議分析和異常行為檢測等方 法，采用了自適應多協(xié)議融合分析技術。檢測能力完備的分析檢測能力BD-NIPS具有完備的功能，主要的功能包括：TCP流重組，端口掃描檢測、IP碎片重組、 BO攻擊分析、異常輪廓統(tǒng)計分析、ARP欺騙分析、UNICODE漏洞分析、RPC請求分析、TELNET 交互格

19、式化分析、極小碎片檢測、緩沖溢出分析、智能的模式匹配等。綜合使用了特征匹配、 協(xié)議分析和異常行為檢測等方法，采用了自適應多協(xié)議融合分析技術。系統(tǒng)具有強大的IP處理能力,能防止黑客進行各種碎片攻擊。TCP多包組合攻擊技術(攻 擊分許多包發(fā)送，一次一個或幾個字節(jié))可以輕松地繞過普通的模式匹配類型的入侵防御系 統(tǒng)。BD-NIPS的TCP流重組功能可以重組TCP連接的雙方的通訊，組合各個攻擊包，使所有 的組合包攻擊技術無能為力。端口掃描是入侵的先兆，黑客一般是先通過掃描來確定用戶系統(tǒng)的類型，然后針對性的 進行攻擊。BD-NIPS具備識別端口掃描功能。普通的入侵防御系統(tǒng)只能識別簡單的TCP端口 掃描，不

20、能識別黑客的其它掃描。BD-NIPS可以識別包括TCP掃描、UDP掃描、SYN掃描、 SYN+FIN 掃描、NULL 掃描、XMAS 掃描、Full XMAS 掃描、Reserved Bits 掃描、Vecna 掃描、 NO ACK掃描、NMAP掃描、SPAU掃描、Invalid ACK掃描在內的幾乎所有掃描方式。UNICODE漏洞和緩沖溢出漏洞是最常用的攻擊手法，也是最常見的系統(tǒng)漏洞，BD-NIPS 可以有效的檢測到。BD-NIPS具有完備的功能,特別是BD-NIPS的異常輪廓統(tǒng)計分析技術，使入侵防御系統(tǒng) 具有自主學習能力，根據(jù)網(wǎng)絡中正常情況下的信息，可以檢測網(wǎng)絡中的異常情況，自動分析 出各

21、種新形式的入侵、變種的入侵、系統(tǒng)誤用。強大的攻擊特征模式庫BD-NIPS內置攻擊模式庫有8000多條，能檢測出絕大多數(shù)攻擊行為。并且其中的攻擊藍盾入侵防御系統(tǒng)技術白皮書 模式庫也在不斷地升級、更新。能檢測的主要攻擊包括：WEB_ATTACKS 攻擊、WEB_IIS 攻擊、WEB_CGI 攻擊、WEB_FRONTPAGE 攻擊、FTP 攻擊、DOS 攻擊、DDOS 攻擊、BACKDOOR 攻擊、NETBIOS 攻擊、ICMP 攻擊、ICMP_EVENT 攻擊、DNS 攻擊、 SMTP 攻擊、SCAN 攻擊、RPC 攻擊、MSSQL 攻擊、TELNET 攻擊、VIRUS 攻擊、SHELLCODE

22、攻擊、 REMOTE_SERVICE 攻擊、FINGER 攻擊、OVERFLOW 攻擊等。3）強大的蠕蟲檢測能力BD-NIPS擁有強大的蠕蟲檢測隔離能力。內置有1000多條蠕蟲檢測規(guī)則，可實時檢測 各種蠕蟲，如SQL蠕蟲王、沖擊波、震蕩波、沖擊波殺手等蠕蟲。同時通過異常檢測技術 能成功檢測新蠕蟲，因此在一定的程度上能解決蠕蟲滯后的問題。4）實時檢測基于服務的攻擊行為BD-NIPS提供了專門模塊檢測分析針對基于服務協(xié)議的攻擊行為。主要的服務有HTTP、 TELNET、SMTP、MS SQL、DNS 等。5） 有效的異常檢測技術有效的異常檢測與統(tǒng)計檢測等檢測方法能降低漏報率。BD-NIPS的異常輪

23、廓統(tǒng)計分析 技術，使入侵防御系統(tǒng)具有自學習能力，根據(jù)網(wǎng)絡中正常情況下的信息，可以檢測網(wǎng)絡中的 異常情況，自動分析出各種新形式的入侵、變種的入侵、系統(tǒng)誤用。BD-NIPS使用的異常檢測模塊的設計原理圖如下圖。異常數(shù)據(jù)包跟蹤模塊從預處理模 塊獲取異常數(shù)據(jù)包，并建立起跟蹤隊列，同時使用異常檢測方法進行深入的異常檢測。為了 加快異常檢測速度，在異常數(shù)據(jù)包跟蹤模塊使用多線程協(xié)同式跟蹤分析技術。流量狀態(tài)監(jiān)控 模塊監(jiān)控網(wǎng)絡流量狀態(tài)及每一工作主機的流量狀況，同時實時計算出流量變化情況。會話監(jiān) 控模塊監(jiān)控TCP會話，從中發(fā)現(xiàn)異常會話。在異常集中分析機器學習模塊，將異常數(shù)據(jù)包 跟蹤模塊、流量狀態(tài)監(jiān)控模塊、會話監(jiān)控

24、模塊的監(jiān)控結果進行集中分析、集中關聯(lián)、集中檢測，從中發(fā)現(xiàn)異常特征，并進行預警和規(guī)則入庫。異常數(shù)據(jù)包跟蹤模塊預警模塊預處理模塊流量狀態(tài)監(jiān)控模塊異常集中分 析機器學習模塊規(guī)則庫1會話監(jiān)控模塊6）違規(guī)行為檢測功能用戶可以定義一些規(guī)則，監(jiān)控內部網(wǎng)絡各主機間的連接，保護一些重要的主機和服務器， 對違反規(guī)定或不應該出現(xiàn)的連接，即使還沒發(fā)生攻擊，系統(tǒng)也會進行報警。支持對未受權外 聯(lián)行為的檢測。7）網(wǎng)絡流量分析BD-NIPS提供流量統(tǒng)計分析功能。能統(tǒng)計、分析網(wǎng)絡數(shù)據(jù)流量，發(fā)現(xiàn)異常并及時報警。8） URL關鍵數(shù)據(jù)阻斷藍盾入侵防御系統(tǒng)支持對URL關鍵數(shù)據(jù)的阻斷，并動態(tài)過濾。2.3.4 策略設置和升級能力1）靈活的

25、策略設置BD-NIPS檢測引擎內置了大約8000條入侵模式，可以檢測已知的大部分入侵，BD-NIPS 同時允許有經驗的高級用戶自定義入侵模式及特征，做到量體裁衣，檢測用戶最為關注的事 件，并能重現(xiàn)入侵攻擊事件。2）支持實時系統(tǒng)升級BD-NIPS檢測引擎內置有實時的升級模塊，可以通過控制中心在線升級檢測引擎，而不 必停止入侵防御系統(tǒng)的正常工作，從而保證了入侵防御系統(tǒng)的無間斷運行。3）不斷更新的入侵模式新的黑客技術不斷涌現(xiàn)，攻擊模式需要經常更新；藍盾信息安全技術股份有限公司將不 斷地更新對最新攻擊手段的識別，及時擴充到入侵模式庫中，最大限度的防范黑客入侵。4）支持遠程升級BD-NIPS具有完善的遠

26、程升級能力，用戶可以在線遠程自動更新攻擊特征庫或升級軟件 模塊，補充最新發(fā)現(xiàn)的攻擊特征，使系統(tǒng)擁有最新的產品特性。5）支持IP地址與MAC地址的綁定為了防止IP欺騙、地址偽裝，本系統(tǒng)具有MAC綁定技術。它可以將IP地址和網(wǎng)卡的硬 件地址綁定起來。2.3.5 響應能力1）實時的檢測分析、響應能力BD-NIPS能夠全面、實時地監(jiān)測網(wǎng)段中的所有數(shù)據(jù)傳輸，信息收集與分析同步進行，反 應快速，實時性高。系統(tǒng)可以實時監(jiān)控網(wǎng)絡中的通訊，一旦發(fā)現(xiàn)可疑行為，BD-NIPS可以準 確地顯示入侵行為及其相關數(shù)據(jù)，實時向管理員告警，以便及時采取措施。2）支持多種報警和響應手段BD-NIPS提供多種實時報警和響應手段，

27、報警信息可以通過網(wǎng)絡、有線、無線等多種方式通知管理員。報警方式有控制中心聲音報警、控制中心圖形報警、電子郵件報警、短信報藍盾入侵防御系統(tǒng)技術白皮書 警、消息報警等。在發(fā)現(xiàn)發(fā)入侵或者異常行為之后，可以根據(jù)安全規(guī)則提供電子郵件、聲訊 警示、消息警示窗、TCP阻斷等多種響應方式，并可以與防火墻聯(lián)動，及時切斷入侵通道， 達到主動式防御。而且對入侵主機進行“反向拍照”，對入侵者的身份進行特征提取、記 錄。管理能力1）多網(wǎng)段檢測、集中管理BD-NIPS可以同時對多個網(wǎng)絡實現(xiàn)保護。根據(jù)用戶具體需求，每個防御引擎可以同時部 署3個網(wǎng)絡，如果作為NIDS設備，可以同時檢測多達5個用戶網(wǎng)絡。強大的多網(wǎng)絡檢測能 力

28、將提高檢測的準確性，也將極大地節(jié)約包括購買開支、管理開支在內的各項開支。BD-NIPS 檢測引擎系統(tǒng)可以集中由控制中心系統(tǒng)進行管理。集中管理可以極大地減少管理工作量。并 且支持多探測器集中管理，遠程管理，具有完善的管理數(shù)據(jù)備份、恢復措施。2）支持分級監(jiān)控、集中管理BD-NIPS支持在大型網(wǎng)絡中采用分級監(jiān)控、集中管理模式。下級的報警日志可根據(jù)日志 報警策略一級一級向上匯總，甚至可送到總控制中心；上級控制中心可管理下級控制中心和 下級檢測引擎。3）集管理、監(jiān)控和分析功能于一體的圖形化控制臺為了確保網(wǎng)絡系統(tǒng)的安全，減少入侵防御系統(tǒng)部署、配置、管理方面的支出，設計人員 經過大量細致的工作,設計出了支持

29、集管理、監(jiān)控和分析功能于一體的圖形化控制臺。即使 是對網(wǎng)絡僅有基本認識的人員，經過簡單的技術培訓，也可以安裝、配置、管理入侵防御系 統(tǒng)?？伸`活定制和簡單管理的管理員視圖。藍盾IPS系統(tǒng)支持攻擊事件輸出到數(shù)據(jù)庫并提供查詢、統(tǒng)計、圖形化分析以及報表輸出 功能。統(tǒng)計統(tǒng)計向用戶提供一個時間段內比較突出的攻擊事件的統(tǒng)計：比如列出最近1小時發(fā)生的 攻擊，發(fā)起攻擊最頻繁的100個源IP地址，收到攻擊最頻繁的100個目標訐地址。匯總信息包 括統(tǒng)計攻擊總數(shù)、接口總數(shù)、和命中攻擊的規(guī)則總數(shù)；并提供按地址和端口進行統(tǒng)計的攻擊 數(shù)據(jù)。查詢通過時間、IP等查詢明細條件，查詢符合條件的攻擊事件。圖形化分析圖形化分析是在指

30、定的時間內，針對不同的統(tǒng)計屬性統(tǒng)計出攻擊數(shù)，并以圖形方式顯示。 圖形化分析結果能分別根據(jù)時間、事件規(guī)則、IP地址等提供報表。審計、取證能力1） 強大的信息記錄、查詢能力BD-NIPS有強大的信息記錄、查詢能力，這些信息包括原始的網(wǎng)絡信息（可以當作入侵 的證據(jù)）、入侵警報信息、系統(tǒng)管理記錄等。從而重現(xiàn)入侵攻擊事件。用戶可以自定義的信 息記錄規(guī)則，只記錄用戶關心的網(wǎng)絡活動，過濾掉用戶不關心的網(wǎng)絡信息。記錄的信息可以 進行多樣化的、用戶定義規(guī)則的查詢?？梢陨筛鞣N信息的統(tǒng)計報表。2）強大的審計和實用的報表功能BD-NIPS具有強大的審計功能，能對檢測到的各種數(shù)據(jù)，包括原始數(shù)據(jù)、攻擊報警數(shù)據(jù)、 管理日

31、志等進行分類統(tǒng)計、關聯(lián)分析，可以根據(jù)用戶的設置，將網(wǎng)絡信息、分析結果、入侵 記錄存儲到數(shù)據(jù)庫中，可供查詢、生成報表。本系統(tǒng)支持TXT、HTML、PDF格式多達20種日 志與審計報表樣式，并支持用戶靈活定制。2.3.8聯(lián)動協(xié)作能力1）全面的聯(lián)動能力BD-NIPS支持BDSEC、OPSEC等主流聯(lián)動協(xié)議，能與藍盾系列產品和其它第三方廠家的 安全產品，如防火墻、安全網(wǎng)關、服務器監(jiān)控軟件、桌面主機代理檢測軟件和DDoS防御網(wǎng) 關等實現(xiàn)聯(lián)動，共同防御入侵。BD-NIPS還提供通用聯(lián)動API接口，任何安全設備廠家使用藍盾入侵防御系統(tǒng)的通用聯(lián) 動接口，就可以非常容易的和藍盾入侵防御系統(tǒng)進行聯(lián)動,從而構架全方位的網(wǎng)絡安全防御 體系。2）構建全網(wǎng)防御體系BD-NIPS通過藍盾主機審計系統(tǒng)提供服務器監(jiān)控和桌面主機代理檢測客戶端，通過在 內網(wǎng)每臺主機上安裝代理檢測客戶端軟件，與本系統(tǒng)檢測引擎進行聯(lián)動，構成一個“全網(wǎng)防 御”體系，可以有效防御、隔離沖擊波、震蕩波等大規(guī)模蠕蟲攻擊。三、產品優(yōu)勢強大的檢測引擎藍盾NIPS檢測引擎結合誤用檢測和異常檢測兩種檢測方法為用戶網(wǎng)絡提供了完善的保 護功能。構成FIRST檢測引擎關鍵技術有：基于狀態(tài)的特征匹配檢測技術:基于狀態(tài)的特征檢測技術依據(jù)攻擊的特征模式對網(wǎng) 絡報文進行匹配；協(xié)議分析檢測:以常用協(xié)議為對象，對不符合標