北京天融信公司网络卫士入侵检测系统 Topsentry 产品说明网络卫士入侵检测系统 Topsentry 产品说明 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-8008105119 http:/www.topsec.com.cn北京天融信公司版权声明版权声明 本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。 版权所有 不得翻印 1995-2009 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。 TopSEC天融信 信息反馈信息反馈 http:/www.topsec.com.cn北京天融信公司网络卫士入侵检测系统 TopSentry 产品说明 北京天融信公司 i 1 产品概述产品概述.2 2 产品特点产品特点.3 3 产品功能产品功能.7 4 产品规格产品规格.8 5 运行环境与标准运行环境与标准.8 6 典型应用典型应用.11 1） 小规模网络环境.11 2） 虚拟引擎技术的典型应用.11 3） 双网卡分流重组技术在实际网络环境中的应用.11 7 产品资质产品资质.12 目目 录录北京天融信公司网络卫士入侵检测系统 TopSentry 产品说明 北京天融信公司 2 1 产品概述产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北京天融信公司基于多年来积累的安全产品研发和实施经验， 集中强大的研发队伍推出具有完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统是北京天融信公司获得多项国际、 国内安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL 加密访问检测等多项天融信独创安全技术，致力于降低 IDS 的误报率、漏报率，提高 IDS 的捕包与分析能力，并加强IDS 对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前 IDS 市场普遍存在的瓶颈问题。TopSentry 具有以下特点： 通过特有的双网卡分流重组技术， 可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，保证了网络卫士 IDS 高效的检测性能。 系统内置 600 条以上的蠕虫检测规则，实时跟踪、检测当前最新的蠕虫事件，最大限度地解决蠕虫发现滞后的问题。 通过解码基于 SSL 加密的访问数据，分析、检测 SSL 加密访问中的攻击行为，从而可以保护内部提供 SSL 加密访问的重要服务器的安全性。 完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET 等）的内容，并按照相应的协议格式进行回放， 清楚再现入侵者的攻击过程， 重现内部网络资源滥用时泄漏的保密信息内容。 通过天融信网络卫士安全管理系统（TSM）基于状态机的实时关联检测技术，对IDS 的报警事件和其他事件进行关联分析，有效地提高了 IDS 检测的准确率。 网络卫士入侵检测系统部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。 其动态的安全响应体系与防火墙、 路由器等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。 北京天融信公司网络卫士入侵检测系统 TopSentry 产品说明 北京天融信公司 3 2 产品特点产品特点 ? 增强的多重入侵检测技术增强的多重入侵检测技术 ? 网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，大大提高了准确度，减少了漏报、误报现象。 ? 采用基于协议分析的误用检测技术，实时跟踪各种系统、软件漏洞，并及时更新事件库，可以及时、准确地检测到各种已知攻击。 ? 网络卫士 IDS 建立了完备的异常统计分析模型， 用户还可以根据实际网络环境适当调整相关参数，更加准确地检测到行为异常攻击。并且，基于内置的强大协议解码器，网络卫士 IDS 能够检测到各种违背 RFC 协议规范的协议异常攻击。 ? 内置了遵循 RFC 规范， 并基于对协议在实践中的具体执行过程的充分理解而建立的协议解码器。通过详尽、细粒度的应用协议分析技术，提高了检测的准确性。 ? 有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的， 因为攻击行为包含在多个请求中。加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS 能够维护完整的会话列表，并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态，在有效地防止 IDS 规避攻击的同时， 不仅可以减少误报和漏报， 而且可以大大提高检测性能。 ? 天融信网络卫士安全管理系统（TSM）采用基于状态机的实时关联检测技术，对网络卫士 IDS 的报警事件和其他事件进行关联分析， 有效地提高了 IDS 检测准确率。 ? 内置 2800 种以上入侵规则，提供对 DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。 ? 基于优化的 TCP/IP 协议栈及可疑网络活动（SNA）处理器，增强了 DoS、扫描等攻击事件检测能力。 ? 高效的多层加速技术高效的多层加速技术 ? 采用专用的高速硬件平台，提供高速网络接口接入和全面优化的背板总线设计。 北京天融信公司网络卫士入侵检测系统 TopSentry 产品说明 北京天融信公司 4 ? 具有基于专用底层硬件驱动优化技术的底层抓包加速引擎。 ? 通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，结合独有的流汇聚引擎，有效保证协议分析技术的应用。 ? 采用增强直接用户空间访问（EDUA）技术，网卡驱动程序与上层系统共享一块内存区域， 网卡从网络上捕获到的数据报文直接传递给入侵检测系统， 避免了数据的内存拷贝， 不需要占用 CPU 资源， 从而最大程度的将有限的 CPU 资源让给协议分析和模式匹配等进程去利用， 提高了整体性能。 同时通过将用户空间中的大量内存空间映射到内核层的 DMA 缓冲空间， 从而使原来有限的 DMA 缓冲空间得到有效扩展，解决了高峰期因缓冲空间有限而发生丢包的现象。 ? 多线程分散式重组引擎，大大提高了重组效率，解决了 IP 分片重组造成的性能瓶颈。 ? 采用高效的流定位及状态型的协议分析技术。优化哈希（Hash）表查询，迅速定位每个报文所属 session；通过学习，模拟目标主机进行 TCP 流重组，有效的提高 TCP 流重组性能，并减少了误报；状态型的会话跟踪分析，优化了同一会话的检测速度；完整的协议分析，使得不需传统方式对每个数据包都进行检测，而是基于一个完整数据流进行分析。 ? 无缝集成的优化智能模式匹配算法。协议解码器与模式匹配引擎采用无缝连接，在进行细粒度协议分析后进行高效的模式匹配，最大限度地提高性能。 ? 强大的病毒蠕虫检测能力强大的病毒蠕虫检测能力 实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫攻击及时提供相关事件规则。 对于存在系统漏洞但尚未发现相关蠕虫事件的情况， 通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。 网络卫士入侵检测系统内置 600 条以上的蠕虫检测规则。 北京天融信公司网络卫士入侵检测系统 TopSentry 产品说明 北京天融信公司 5 ? SSL 加密访问检测技术加密访问检测技术 通过解码基于 SSL 加密的访问数据，分析、检测 SSL 加密访问中的攻击行为，从而可以保护内部提供 SSL 加密访问的重要服务器的安全性。 ? 强大的报文回放能力强大的报文回放能力 能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET 等）的内容，并按照相应的协议格式进行回放， 清楚再现入侵