首页 公司简介 业务范围 产品中心 服务中心 在线招聘 在线留言 联系我们
产品中心
天阗入侵检测与管理系统 NT35JH-SRE

    天阗入侵检测与管理系统是启明星辰公司推出新一代入侵检测产品。系统在架构设计上,囊括了网络已知威胁检测和未知威胁检测两大技术领域,功能涵盖全面。系统保留并完善了对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等威胁具有高精度的检测能力,同时,产品从已知威胁的检测、发现、预警、报告、展现五个维度进行威胁闭环管理,到动态和静态检测结合的未知威胁全面检测,帮助用户全面实现网络中两大威胁的检测与防御,包括了协议攻击、手机病毒、僵木蠕威胁、隐蔽通道、未知漏洞、恶意代码等高级持续性的网络威胁。
值得一提的是,新一代入侵检测系统是一款亮点很多的智能化的入侵检测系统,譬如:用VXID算法,快速过滤掉海量的低质量报警事件;用智能调度算法,提升对恶意文件的并行虚拟执行效率;用资产关联算法,使系统展示出来的事件数量大幅减少;用代码优化技术,提升检测处理性能等等,旨在帮助用户,快速定位网络威胁、聚焦重点事件、降低管理难度,等等。
1.1产品架构
启明星辰新一代IDS的产品架构由三部分组成:
     数据和管理控制中心
     检测引擎
     在线升级系统
其中,数据和管理控制中心负责威胁的展示与管理、多级级联、配置等功能;检测引擎负责对网络流量进行检测,识别出流量中可能存在的威胁;在线升级系统则负责提供软件、特征库、病毒库的升级包,这三部分相互独立,可以灵活部署。

1.2主要功能
    天阗入侵检测与管理系统是启明星辰自主研发的新一代威胁检测、分析与管理产品,该产品在总结传统入侵检测产品(包括:入侵检测系统、异常流量监测设备、病毒类、恶意URL类检测设备等)不足的基础上,结合大量用户(尤其是行业用户,如政府、金融、军队、能源、教育、媒体等)的实际使用效果和反馈,进行了大规模的改进和创新,在保证全面威胁检测的同时,强调用户使用的体验,实用、易用、在检测威胁的同时方便用户对威胁进行有效分析和处理、实现对威胁的闭环处理、降低使用人员的使用难度、降低实用人员的使用成本、提高使用人员的工作效率是本品的特色。
全面威胁检测
    天阗入侵检测与管理系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量、隐蔽信道、AET逃逸攻击等恶性攻击行为有非常准确高效的检测效果,并通过简单易懂的去技术化语言帮助用户分析威胁,对威胁进行有效处理。

智能威胁分析
    天阗入侵检测与管理系统内置的智能分析引擎等,能够对上报的事件,并进行关联分析,识别出重要报警,提醒用户关注,对不重要的报警进行智能过滤,解决了用户查阅大量报警导致对威胁分析和处理难的问题。同时,结合动态分析引擎、静态分析引擎,可以对高级持续性威胁做到深度检测。此外,分析报表采用对比分析的方法,让使用者对近期的安全状况一目了然,不再需要使用者在海量的日志数据中进行人工分析,减轻了使用者的工作量和难度,提高使用者的工作效率。


简化威胁管理
    天阗入侵检测与管理系统注重配置简单的设计理念,主要是指对威胁管理的简单。威胁管理涉及到:威胁发现、威胁展示、威胁分析、威胁处理这四个部分,这四个部分组成了闭环的威胁管理。天阗入侵检测与管理系统采用全面的检测技术保证威胁发现的准确性;采用多维度图、表、数据结合的方法保证威胁展示的简单性、充分性;同时通过智能分析过滤的方法过滤掉无需关注的事件,保证威胁展示的质量;采用去技术化的向导帮助使用者对威胁进行分析和处理,此外,自动处理的机制也最大程度地降低了使用者的维护工作量。

1.3 产品特点

    天阗入侵检测与管理系统是基于启明星辰多年的安全积累基础之上,采用新一代多核X86高性能硬件平台,为用户提供适合从百兆、千兆、万兆等多网络环境下的威胁发现、威胁展示、威胁分析、威胁处理的专业化威胁发现与管理系统,下面就对本系统的产品特色进行详细介绍。

1.3.1 全面精确检测

    天阗入侵检测与管理系统基于启明星辰多年的安全积累,已经具有全面威胁覆盖的能力,可对已知威胁和未知威胁做全面的检测,据此启明星辰还形成多项专利检测技术。

近些年来,以高级持续性威胁为代表的新威胁态势不断向行业客户渗透,天阗入侵检测与管理系统通过融合静态检测算法、动态虚拟沙箱等技术手段,可对未知威胁的攻击行为有非常准确高效的检测效果。

1.3.2 全面精细的特征库

    为了有效地降低了误报率和漏报率,做到了针对威胁的精确检测,天阗入侵检测与管理系统在特征库的质量上不断更新,并且精选出来的5200多条代表主流攻击的时间,为了强调事件的时效性,特征库还覆盖了大量0 day漏洞,满足用户对于检测产品“全、精、新、准”的述求。

1.3.3 精确的Web威胁检测

    当前,电子商务、考试在线报名、关键信息发布、网银、在线交易等网上业务盛行,黑客围绕网上业务或WEB业务的攻击大量泛滥。新一代天阗入侵检测与管理系统通过采用基于语法分析、语义分析的精确检测算子技术,不但对常见SQL注入、XSS的攻击检测具有100%的检测效果,而且对于采用复杂变形手段的SQL注入、XSS也具有极高的检测精度。

1.3.4 全面用户上网行为监控

    天阗入侵检测与管理系统全面覆盖了包括IM、P2P、语音、视频、游戏、在线炒股等主要用户上网行为的监控。通过特征匹配与行为模式分析的方式,对主要的P2P(如:eDonkey、eMule、迅雷等)登录、传输过程进行有效的识别并进行报警,让使用者对网络内存在的各种上网行为进行及时了解,为优化带宽,制定上网行为控制策略提供及时、详细的决策数据。

1.3.5 流量智能分析

    根据天阗入侵检测与管理系统独立的流量引擎模块,可以为用户采集分析,诸如Web流量、邮件流量、数据库流量等网络流量,动态分析出当前时刻网络流量的正常运行态势,并通过与实时流量进行对比,判断出当前流量的走势是否异常。图形化的流量实时运行曲线与超压曲线使得流量运行的情况一目了然。

1.3.6 智能报警分析与过滤

    用户面临网络监控中最大的一个问题是事件报警量过大,天阗入侵检测与管理系统采用多维度分析与用户行为挖掘的方式对监测引擎报警上来的大量事件进行智能分析,对其中与实际威胁关系不大的报警进行有效的识别,并在识别的基础上进行了自动过滤,报警数量大大减少,极大地降低了使用者的维护工作量,提高使用者的工作效率,让监测系统的使用真正变得简单。

1.3.7 准确的原始报文取证

    为帮助用户解决报警分析难的问题,天阗入侵检测与管理系统内置了原始报文捕获的功能,通过该功能,可以将报警产生那一瞬间及其前后一段时间内的用户场景的上下文如实地记录下来。通过这些信息,我们可以帮助使用者(甚至使用者自己)就可以判断出报警的真伪。原始报文是报警分析的有效手段,同时也可以成为取证的一个途径。

1.3.8 组织化威胁管理

    在大规模分布式部署环境下,威胁管理工作变得尤为复杂,新一代天阗入侵检测与管理系统为此提供了组织化管理的技术方案,即:用户可以根据自己的组织结构定义相应的“组织/部门”,形成树形组织结构,用户可以根据需要选择性查看某个“组织/部门”的威胁报警事件并生成报表,很好地克服了多级分布式环境下的威胁统一安全管理难题。

1.3.9 入侵事件定位系统

    结合网络入侵检测系统,可以将离散的实时报警信息通过地理信息、网络结构以及和IP地址的定位结合显示在图形化的界面上,用户可以清晰的看到入侵事件的源头或目标对象,不同地域的入侵事件发生比例以及事件级别比例。通过入侵事件定位系统,用户可以更好的使用入侵检测提供的信息进行事件跟踪及时的响应处理,有效的提高了入侵事件的可视化管理。

1.3.10 高级逃逸威胁AET检测

    可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范。利用分层化检测的方式同时对所有协议层的流量进行检测,使网络中捕获到的攻击包合规化,满足特征检测的条件,最终使得攻击得以展现,逃逸化为无形。

1.3.11 全面支持IPv6环境

    针对IPv6环境完善了网络数据包捕获、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,并可以对IPv6实现事件日志采集和分析统计。

1.3.12 威胁分析与处理帮助

    新一代入侵检测,采用浅显易懂的事件描述语言,使用户更加直观了解威胁的本质,并且给出易于理解的分析帮助和简单可操作的处理化建议,更利于使用者对威胁进行闭环管理。对威胁进行闭环管理的过程,产品提供了去技术化的威胁分析帮助向导,让使用者可以容易地对威胁进行分析,同时,也提供了简单易操作的威胁处理建议和自动化处理的设置,通过这些建议和设置,使用者可以简单方便地对威胁进行处理,以最小的工作代价完成对威胁的闭环管理。

1.3.13 事件日志与策略自动优化

    系统根据用户的安全态势及发生频率识别垃圾事件,并自动提醒用户有策略优化任务需要处理,然后与用户交互共同完成垃圾事件的清理,规避操作过程中的风险,同时可将策略优化应用到后续事件处理上。

1.3.14 多维度分析报告

    天阗入侵检测与管理系统的报表系统分为详细报表、基础统计报表、高级统计报表、分析报表4种。其中前3种属于以原始日志为主的基础数据报表,而分析报表则是在原始数据的基础之上通过不同时期的分析,对威胁的关键属性(比如危险级别、攻击者威胁指数等)进行对比,并将对比分析后的结论在报表中输出,让使用者可以通过分析报表清楚地看到当前是否存在威胁,当前的主要威胁是什么。

1.3.15 虚拟流量检测

    随着云计算、大数据、物联网的广泛普及,网络流量虚拟化技术在用户环境中被大量运用,网络边界变得模糊,因此,传统监控手段面临巨大安全挑战,新一代天阗入侵检测与管理系统可以与天阗虚拟导流器就是解决虚拟化环境下的网络安全威胁无法检测的难题。它利用虚拟化技术手段,结合物理入侵检测产品松耦合方式,将虚拟的网络流量转送至入侵检测设备中,经过流量深度检查从而发现虚拟环境中的网络威胁,实现对虚拟网络的安全梳理。它的核心原理是将经过虚拟交换机上的网络报文按照策略要求导引到指定的物理安全设备中,达到对虚拟网络进行检测的需求。




 

 
分类导航
CISCO (27)
路由器
防火墙
交换机
无线
华为 (43)
路由器
安全网关
交换机
无线
下一代防火墙
H3C (76)
路由器
安全网关
交换机
无线
深信服 (41)
上网行为管理
防火墙
SSL VPN
无线
服务器 (64)
HP
DELL
Cisco UCS
浪潮
华为
泛达布线产品 (1)
dell sonicwall防火墙 (17)
启明星辰 (14)

 上海蓝叶信息科技有限公司 版权所有 严禁复制 2010-2025 邮编:201199

 地址:上海市秀文路898号西子国际5号楼1210室 电话:021-54253618  021-64069003

网站备案号:沪ICP备11019465号  沪公网安备 31011202005236号 网站建设|网站制作上海频道

销售 周红利
点击这里给我发消息
销售经理 张学超
点击这里给我发消息
销售 王玉川
点击这里给我发消息
商务经理 贺斌
点击这里给我发消息