天阗(tian)入侵检测与管理系统是启明星辰信息技术有限公司自主研发的入侵检测类产品套件。它在新一代入侵检测技术的基础上,利用全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
阗:本义盛、大,声势壮阔之意。
阗:中国有和田美玉,圆润坚固,流光溢彩,可以补天。
阗:从汉语拆字来看,门内一个真,蕴含天阗为安全的守卫者,去伪存真,诚实可信。
套件组成
天阗入侵检测与管理系统是一个可组合的安全产品套件,包含如下五类可单独销售的部分:
※天阗网络入侵检测系统
※天阗网络异常流量监测系统
※天阗网络入侵事件定位系统
※天阗网络入侵风险评估系统
※天阗主机入侵检测系统
从入侵检测到入侵管理
天阗入侵检测与管理系统和传统的入侵检测产品相比,具有如下几个显著的优点:
※将不同的安全产品在统一的管理控制中心采用拓扑化方式进行集中管理和配置,完成安全策略的制定和分发,综合显示多样化的检测信息,引导入侵管理向平台化方向发展。
※引入的集中监管、分级部署的多级管理体系,全面符合中国国情的行政业务的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局预警机制。
※利用基于攻击特征或漏洞机理的分析,提取出网络流量中不同类型的恶意流量大小和比例,建立全局的异常流量监测体系,和网络入侵检测紧密配合,从宏观和微观两个层面来了解网络安全状况和威胁态势。
※利用IP定位和图形化的表现方式,使得条目式网络入侵事件以形象的可视化方式显现出来,提高对入侵事件的定位能力和响应速度。
※深入挖掘不同安全产品的内在相关性,采用协同关联技术,加强安全产品之间的优势互补,提高安全产品协同作战能力。
※采用规范化的通讯结构,可以实现管理体系的全面升级和扩容,并支持SOC更高层次的安全管理。
核心技术
※高性能报文处理架构
■DMA和零拷贝技术
通过使用DMA和数据零拷贝技术,大大提高了效率。
零拷贝技术省略了TCP/IP堆栈的处理,系统的捕包效率大大提高。
■支撑平台结构和系统优化
整体结构的优化有助于进一步提高IDS系统引擎的速度。
并行处理,多个线程可以同时并行处理多个报文。
使用汇编语言应用于核心程序,大大减少使用高级语言带来的冗余代码,提高了处理效率。
优化内存分配算法,提高系统的处理速度。
精简运行的操作系统,不但提高了入侵检测的性能,同时保证了入侵检测产品的自身安全性。
※基于状态的协议分析
■提高协议分析的速度
通过基于状态的协议分析,大大提高解析的准确度。
运用多种算法进行解析,提高协议解析的速度。
■提高协议分析的效果
直接产生协议分析中确定的事件,从而提高是 整个报文的处理速度。
更深入的协议解析,提高了规则集中规则的匹配准确性,从而节省时间,提高规则匹配的效率。
※树型规则和匹配算法
通过三个方法去提高其效率:协议规则 子集、规则树和快速模式集合匹配。
■协议规则子集,大大减少实际一个报文进行匹配的规则数量,减少匹配时间,提高了效率。
■规则树,减少重复判断的次数,大大的提高了比较效率。
■快速模式集合匹配,能够尽可能快的在一个正文串中查找到一个模式串的存在。
※特征提取分析和描述
■基于漏洞机理的特征分析,可以实现检测和具体攻击工具的无关性。
■基于攻击过程的特征分析,可以判断攻击是 处在攻击尝试阶段还是已经攻击成功。
■VT++规范描述语言,保证了特征的快速更新 和供用户自主定义新的攻击特征以及用户关注的特殊行为,从而扩充检测内容和范围。
※分级管理与控制技术
■上级管理端可以对下级管理端进行监测传感 器配置管理、策略下发、升级等管理,并可 以显示下级上报的各种事件。每级管理端在管理下级管理端的同时还可以直接管理监测传感器。
■上级对下级的管理模式包括集权管理模式和灵活管理模式,可以应对不同的管理需求。
※面向对象的虚拟引擎
■按照网络环境指定的分类标准,进行分别防护。在每一个虚拟引擎上可以执行不同的
检测策略集,做到不同的响应方式,从而实现有针对性的入侵检测。
■在单一硬件设备中可以完成以往需要多套硬件设备才能完成的任务,同时IDS在部署上更为简单,管理方面也比多个IDS所组成的系统要集中和易行,能带给用户更多的实惠和便利。
功能特点
※完善的管理控制体系
■多层分级与全局预警
■灵活的更新和版本升级
■支持多报警显示台
■时钟同步机制与严格的权限管理
■支持全面的数据库维护管理
■可扩展到入侵管理
※全面的入侵检测能力
■多种技术结合防止漏报
■多种措施降低误报
■多种机制限制滥报
■自定义入侵检测规则
■全面兼容CVE和CNCVE标准
※自适应检测策略管理
■提供多种不同分类方式的系统策略集,提供向导方式方便用户自定义,支持策略集的导入和导出
■提供灵活的策略编辑方式和动态策略调整模式
■支持虚拟引擎的划分,实现有效的入侵检测
※可扩展的响应和联动
■具有丰富的可扩展事件响应方式
■通过自有VIP协议族,充分实现和第三方安全产品以及网络设备的策略响应联动
※多样化日志分析报告
■为管理人员和入侵检测分析员提供不同类型的日志分析手段和报告输出
■为管理人员提供常用的周期性统计报表类型模板和交叉统计报表
■为入侵检测分析员提供多种缺省分析模版提供多样化的日志过滤查询条件可以导出多种常用格式(如:Word\Excel)的报表,并可设置邮件定时发送报告功能
※高度的自主安全保障
■控制中心与所探测网段可以实现隔离部署,保证控制中心的自身安全管理
■控制中心与探测引擎采用通信加密、互相认证,防 止欺骗和非法篡改
■探测引擎检测网口无IP地址,实现自身隐藏及带外管理;管理网口不开放额外连接端口,提高自身的隐藏性
■探测引擎操作系统内核重新编译,并经过特别的优化,避免通用TCP/IP堆栈的缺陷导致的安全漏洞
■探测引擎具有watchdog功能,确保系统的长期稳定运行
※人性化界面功能操作
■采用图形化拓扑结构显示产品组件之间的管理控制关系
■采用可定制的分窗口和事件树,分类显示报警信息
■提供可定位的联机手册和具有详细的攻击、漏洞解释的安全信息手册
※线速级的高性能处理
百兆和千兆产品均可实现线速级的高性能处理,无论在TCP还是在UDP环境下,均能达到相同的检测能力。性能指标如下:
天阗网络入侵检测系统
天阗网络入侵检测系统采用了新一代的入侵检测技术,包括基于状态的协议分析技术、规范的入侵特征描述语言、准确的特征分析和提取、标准的安全信息知识库,以先进的体系结构配合高性能的专用硬件设备,能够准确地识别来自网络外部或内部的多种攻击行为,实时报警和记录入侵信息,具有多样化的响应方式,产生适合不同人员的综合入侵分析报告,可以最大程度地为网络系统提供安全保障。此外,它还可以与漏洞扫描、防火墙、交换机紧密联动,形成以主动检测为核心的动态防御体系。
网络入侵检测系统是天阗入侵检测与管理系统的核心组件,具有多种产品型号来主动适应不同网络环境的检测需求。
体系结构
天阗网络入侵检测系统采用组件化产品体系结构,包括:
※网络探测引擎:采用专用硬件设备通过旁路方式接入检测网络,进行检测和实时分析,执行告警、阻断等功能,并记录相应的事件日志。
※管理控制中心:控制位于本地或远程的多个网络探测引擎的活动,集中制定和配置策略,提供统一的数据管理。管理控制中心可以被设置为主控、子控结构。
※综合信息显示:能显示详细的入侵告警信息(如入侵者的IP地址、攻击特征),并对事件的响应提供在线帮助。
※日志分析中心:将历史的报警信息进行分类提取,提供了多种分析手段和模版,可以产生用户所需独特的统计性和分析性管理报表。
天阗独创性地将检测、管理配置、报警显示以及日志分析四部分功能实现分开部署,满足多人同时监测和分权限管理的需要。
天阗网络异常流量检测系统
天阗网络异常流量监测系统通过旁路侦听的方式对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,并记录网络中的实时流量信息,发现网络流量的异常变化,并可以对带有具体特征的恶意流量进行有效提取和连续性监测,对于用户把握具体攻击事件产生异常流量的威胁程度和地址分布具有独特的价值。网络流量变化过程的相关信息自动进行存储,通过分析可以形成详细的分析报表。
功能特点
※多样化的全面流量监测
协议流量监测、端口流量、IP流量、长度流量、流行蠕虫流量监测、攻击报文流量统计。
※流量细化监测和显示
流量细化监测和显示可以帮助用户发现某种可疑流量后,进行细化监测,发现造成可疑流量的具体原因。
流量细化监测是指流量监测者得到一种统计流量类型的各个流量分曲线的显示界面,需要其某个单独流量曲线按照另外的分类方式进行分组统计,实现深入流量分析。
※自定义特征流量监测
产品提供了自定义特征流量向导,用户可以根据自己关心的内容进行重点监测定义:如重要服务器的IP流量、端口流量,显示其状态和变化趋势。
用户还可以基于漏洞机理特征、攻击特征定义以及特定入侵检测的事件来监测流量事件,用※来发现可能出现的未知攻击出现或者是某种最新攻击流量的变化趋势。
※自定义异常流量报警
天阗网络异常流量监测系统不但支持用户自定义特征网络流量的统计,而且支持用户对异常流量的定义。用户可以根据流量的波动变化范围和不同流量曲线的相对比值,来定义流量的异常报警。
自定义异常流量按定义方式分为2种:
1. 流量波动异常
2. 流量对比异常
※历史流量分析和报告输出
管理控制中心将流量引擎产生的流量统计数据记录到相应的数据库中。
通过流量日志分析可以对历史流量查询,了解不同类型的历史流量变化,显示指定时间段的各种流量的报文数、字节数的统计结果和或平均流量大小。
通过报表分析还可以产生不同时间段的异常报警事件的详细查询报告。
查询结果可以生成对应的报告,输出支持Word、Excel、HTML的常用格式。
天阗网络入侵事件定位系统
天阗网络入侵事件定位系统结合网络入侵检测系统,可以将离散的实时报警信息通过地理位置查询、网络结构分析和IP地址定位显示在图形化的界面上,也可以将天镜脆弱性扫描与管理系统(分布版)扫描出来的漏洞信息显示在定位点上,有效地提高了入侵事件的可视化管理能力。天阗网络入侵事件定位系统支持多授权部署,能够满足不同管理区域人员的业务需要。
功能特点
※支持多样化的定位设置属性
如入侵检测事件或漏洞信息进行定位
※支持多种方式的定位观测点
如单个IP、IP段、IP群组以及IP子网
※支持多样化的地图显示和操作
如地理图形、拓扑图形、多级子图
※支持不同类型观测信息对比显示
如按照事件、漏洞安全级别、入侵检测具体事件的饼图、柱状图的事件对比
※提供多样化的事件查询方式和事件标记
支持热点区域进入,查询当前发生详细事件并进行事件信息回放
※支持图形统计格式联机打印输出及多种系统设置参数的灵活调整
天阗入侵风险评估系统
天阗入侵风险评估系统通过分布式的网络扫描引擎定期对网络和主机进行扫描,建立资产脆弱性分析信息库,采用协同关联分析技术,对入侵检测系统实时报警事件进行对应性校验,显示入侵事件的风险分析和评估结果。
评估过程
天阗入侵风险评估系统采用如下的分析过程:
※判断入侵事件中的攻击对象是否属于所关心的资产范围之内。
※判断该入侵事件影响的系统和目标资产的实际系统是否有对应性。
※判断入侵事件针对的端口在目标资产是否已经打开。
※判断目标资产上是否具有入侵事件所针对的漏洞。
根据以上的分析,给出入侵事件的风险分析和评估结果。
功能特点
※灵活的关联分析条件设置
通过关联分析条件设置,预先建立对资产主机、服务、系统信息和漏洞分布状况的资料库,为进行入侵事件的校验做好准备。
※ 支持评估策略灵活调整和扩展
根据网络入侵检测和漏洞扫描知识库的定期更新,实现评估策略同步更新,保持对新的安全风险进行关注和评估。
※支持资产脆弱性资料库的自动更新
制定定时的扫描计划任务,更新资产脆弱性分析资料库。
※提供确定性的入侵风险评估报告
通过报告明确给出具体的入侵检测事件信息、漏洞信息以及相应的关联分析结果,报告可以输出多种格式,如:Word、Excel、PDF等。
天阗主机入侵检测系统
天阗主机入侵检测系统基于主机系统信息和针对该主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为。它可以用来实时监控可疑的连接、进行系统日志检查、防止非法访问闯入等,同时它还可以提供对典型应用的监控,如Web应用、邮件应用、数据库服务等。
主机入侵检测系统主要用于重要应用服务器平台的检测和防护。
功能特点
※ 全面的监测范围
对主机平台提供了最全面、细致的监测保护,其监测范围主要包括:正常和异常用户行为、正常和异常管理行为、各种安全事件、可疑连接事件、系统日志等。
※自定义检测规则
对于不同主机平台提供了不同定义规则,可以允许用户自定义检测主机平台的关注行为,扩展监测范围和类型。
※ 灵活多样的告警功能
控制中心在收到主机引擎上报的安全事件后,根据事件的策略定义,能以屏幕显示、电子邮件、WinPopup以及用户自定义方式发送告警信息。
※ 丰富的报表功能
多样化的预定义查询模板和多种可选的输出格式:.xls、.html、.doc和.csv,使用户可以很方便地对日志进行查询和生成相关报表。
※ 分布部署集中管理
同的主机探测引擎分布式地驻留在对应的主机平台上,通过统一的管理控制界面进行配置,策略制定和下发,显示告警信息以及日志维护。
※ 支持同台管理
支持和网络入侵检测系统进行同台管理,使用统一的管理界面、监测界面,进行统一的入侵管理,减少管理成本.
