天清入侵防御系統(tǒng)產(chǎn)品白皮書

1、產(chǎn)品白皮書天清入侵防防御系統(tǒng)統(tǒng)（V66.0）（Intrrusiion Preevenntioon SSysttem）版本標(biāo)識：V6.00.1.00單 位：北京京啟明星星辰信息息技術(shù)有有限公司司版 權(quán) 聲聲 明北京啟明星星辰信息息技術(shù)有有限公司司版權(quán)所所有，并并保留對對本文檔檔及本聲聲明的最最終解釋釋權(quán)和修修改權(quán)。本文檔中出出現(xiàn)的任任何文字字?jǐn)⑹?、文文檔格式式、插圖圖、照片片、方法法、過程程等內(nèi)容容，除另另有特別別注明外外,其著著作權(quán)或或其他相相關(guān)權(quán)利利均屬于于北京啟啟明星辰辰信息技技術(shù)有限限公司。未未經(jīng)北京京啟明星星辰信息息技術(shù)有有限公司司書面同同意，任任何人不不得以任任何方式式或形式式對本手

2、手冊內(nèi)的的任何部部分進(jìn)行行復(fù)制、摘摘錄、備備份、修修改、傳傳播、翻翻譯成其其它語言言、將其其全部或或部分用用于商業(yè)業(yè)用途。“天清”為為啟明星星辰信息息技術(shù)有有限公司司的注冊冊商標(biāo)，不不得侵犯犯。免責(zé)條款本文檔依據(jù)據(jù)現(xiàn)有信信息制作作，其內(nèi)內(nèi)容如有有更改，恕恕不另行行通知。北京啟明星星辰信息息技術(shù)有有限公司司在編寫寫該文檔檔的時(shí)候候已盡最最大努力力保證其其內(nèi)容準(zhǔn)準(zhǔn)確可靠靠，但北北京啟明明星辰信信息技術(shù)術(shù)有限公公司不對對本文檔檔中的遺遺漏、不不準(zhǔn)確、或或錯(cuò)誤導(dǎo)導(dǎo)致的損損失和損損害承擔(dān)擔(dān)責(zé)任。信息反饋如有任何寶寶貴意見見，請反反饋：信箱：北京京市海淀淀區(qū)東北北旺西路路8號中中關(guān)村軟軟件園221號樓樓啟

3、明星星辰大廈廈 郵郵編：11000094電話：0110-88277790888傳真：0110-88277790000您可以訪問問啟明星星辰網(wǎng)站站： HYPERLINK n n獲得最最新技術(shù)術(shù)和產(chǎn)品品信息。目 錄TOC o 1-3 h z u HYPERLINK l _Toc162934134 第1章 概概述 PAGEREF _Toc162934134 h 3 HYPERLINK l _Toc162934135 1.11 關(guān)于于天清 PAGEREF _Toc162934135 h 3 HYPERLINK l _Toc162934136 1.2 入入侵防御御 PAGEREF _Toc1629341

4、36 h 4 HYPERLINK l _Toc162934137 1.3 入入侵防御御系統(tǒng)和和入侵檢檢測系統(tǒng)統(tǒng) PAGEREF _Toc162934137 h 4 HYPERLINK l _Toc162934138 第2章 深深層防御御與精確確阻斷 PAGEREF _Toc162934138 h 5 HYPERLINK l _Toc162934139 2.1 深深層防御御 PAGEREF _Toc162934139 h 5 HYPERLINK l _Toc162934140 2.2 精精確阻斷斷 PAGEREF _Toc162934140 h 6 HYPERLINK l _Toc1629341

5、41 第3章 產(chǎn)產(chǎn)品技術(shù)術(shù)特點(diǎn) PAGEREF _Toc162934141 h 6 HYPERLINK l _Toc162934142 3.1 串串行防御御和免疫疫防護(hù) PAGEREF _Toc162934142 h 6 HYPERLINK l _Toc162934143 3.2 高高效的數(shù)數(shù)據(jù)處理理性能 PAGEREF _Toc162934143 h 7 HYPERLINK l _Toc162934144 3.3 權(quán)權(quán)威性的的檢測特特征庫 PAGEREF _Toc162934144 h 7 HYPERLINK l _Tocc162293441455 3.44 準(zhǔn)確確的攻擊擊檢測能能力 PAG

6、EREF _Toc162934145 h 8 HYPERLINK l _Toc162934146 3.5 簡簡易便捷捷的管理理部署 PAGEREF _Toc162934146 h 9 HYPERLINK l _Toc162934147 3.6 靈靈活的安安全策略略管理 PAGEREF _Toc162934147 h 9 HYPERLINK l _Toc162934148 3.7 豐豐富的響響應(yīng)分析析方式 PAGEREF _Toc162934148 h 9 HYPERLINK l _Toc162934149 3.8 完完善的系系統(tǒng)可靠靠保障 PAGEREF _Toc162934149 h 10

7、HYPERLINK l _Toc162934150 第4章 部部署結(jié)構(gòu)構(gòu) PAGEREF _Toc162934150 h 11 HYPERLINK l _Toc162934151 4.1 常常規(guī)部署署模式 PAGEREF _Toc162934151 h 11 HYPERLINK l _Toc162934152 4.2 雙雙重鏈路路部署 PAGEREF _Toc162934152 h 11 HYPERLINK l _Toc162934153 4.3 多多層結(jié)構(gòu)構(gòu)部署 PAGEREF _Toc162934153 h 12 HYPERLINK l _Toc162934154 第5章 綜綜述 PAGE

8、REF _Toc162934154 h 13概述關(guān)于天清天清入侵防防御系統(tǒng)統(tǒng)（Inttrussionn Prreveentiion Sysstemm）是啟啟明星辰辰信息技技術(shù)有限限公司自自行研制制開發(fā)的的入侵防防御類網(wǎng)絡(luò)安安全產(chǎn)品品。天清入侵防防御系統(tǒng)統(tǒng)圍繞深深層防御御、精確確阻斷這這個(gè)核心心，通過過對網(wǎng)絡(luò)絡(luò)中深層層攻擊行行為進(jìn)行行準(zhǔn)確的的分析判斷斷，在判判定為攻攻擊行為為后立即即予以阻阻斷，主主動而有有效的保保護(hù)網(wǎng)絡(luò)的的安全。啟明星辰堅(jiān)堅(jiān)信，不不了解黑黑客技術(shù)術(shù)的最新新發(fā)展，就就談不上上對黑客客入侵的的有效防防范。為為了了解解黑客活活動的前前沿狀況況，把握握黑客技技術(shù)的動動態(tài)發(fā)展展，深化化對

9、黑客客行為的的本質(zhì)分分析，預(yù)預(yù)防黑客客的突然然襲擊并并以最快快速度判判斷黑客客的最新新攻擊手手段，啟啟明星辰辰專門建建立了積積極防御御實(shí)驗(yàn)室室(V-AD-LABB)，通通過持續(xù)續(xù)不斷地地研究、實(shí)實(shí)踐和積積累，逐逐漸建立立起一系系列數(shù)據(jù)據(jù)、信息息和知識識庫作為為公司產(chǎn)產(chǎn)品、解解決方案案和專業(yè)業(yè)服務(wù)的的技術(shù)支支撐，如如攻擊特特征庫、系系統(tǒng)漏洞洞庫、系系統(tǒng)補(bǔ)丁丁庫和IIP定位位數(shù)據(jù)庫庫等。啟明星辰在在入侵檢檢測技術(shù)術(shù)領(lǐng)域的的成就受受到了國國家權(quán)威威部門的的肯定和和認(rèn)可，成成為國家家計(jì)算機(jī)機(jī)網(wǎng)絡(luò)應(yīng)應(yīng)急技術(shù)術(shù)處理協(xié)協(xié)調(diào)中心心(CNCCERTT)和CCNCVVE的承承建單位位. 啟明星辰對對國內(nèi)外外最新的

10、的網(wǎng)絡(luò)系系統(tǒng)安全全漏洞與與應(yīng)用軟軟件漏洞洞一直進(jìn)進(jìn)行著最最及時(shí)和和最緊密密的跟蹤蹤，對重重大安全全問題成成立專項(xiàng)項(xiàng)研究小小組進(jìn)行行技術(shù)攻攻關(guān)，并并將發(fā)現(xiàn)現(xiàn)的漏洞洞及時(shí)呈呈報(bào)給國國際CVVE（CCommmonVullnerrabiilittiessanndEExpoosurres）組織。目前已有多個(gè)漏洞的命名被國際CVE組織采用，獲得了該組織機(jī)構(gòu)唯一的標(biāo)識號。天清入侵防防御系統(tǒng)統(tǒng)強(qiáng)大的的功能、簡簡單的操操作、友友好的用用戶界面面、全面面的技術(shù)術(shù)支持解解除了您您的后顧顧之憂，是是您值得得信賴的的網(wǎng)絡(luò)安安全產(chǎn)品品。入侵防御首先我們來來探討一一個(gè)問題題：入侵侵攻擊行為為包括哪哪些？什什么樣的的行為可可

11、以稱為為入侵攻攻擊行為為？我們們來看對對入侵行行為的標(biāo)標(biāo)準(zhǔn)定義義：入侵侵是指在在非授權(quán)權(quán)的情況況下，試試圖存取取信息、處處理信息息或破壞壞系統(tǒng)以以使系統(tǒng)統(tǒng)不可靠靠，不可可用的故故意行為為。通常提到對對入侵行行為的防防御，大大家都會會想到防防火墻。防防火墻作作為企業(yè)業(yè)級安全全保障體體系的第第一道防防線，已已經(jīng)得到到了非常常廣泛的的應(yīng)用，但但是各式式各樣的的攻擊行行為還是是被不斷斷的發(fā)現(xiàn)現(xiàn)和報(bào)道道，這就就意味著著有一類類攻擊行行為是防防火墻所所不能防防御的，比比如說應(yīng)應(yīng)用層的的攻擊行行為。想要實(shí)現(xiàn)完完全的入入侵防御御，首先先需要對對各種攻擊擊能準(zhǔn)確發(fā)發(fā)現(xiàn)，其其次是需需要實(shí)時(shí)時(shí)的阻斷斷防御與與響應(yīng)。

12、防防火墻等等訪問控控制設(shè)備備沒有能能做到完完全的協(xié)協(xié)議分析析，僅能能實(shí)現(xiàn)較較為低層層的入侵侵防御，對對應(yīng)用層層攻擊等行行為無法法進(jìn)行判判斷，而而入侵檢檢測等旁旁路設(shè)備備由于部部署方式式的局限限，在發(fā)現(xiàn)現(xiàn)攻擊后后無法及及時(shí)切斷斷可疑連連接，都都達(dá)不到到完全防防御的要要求。想要實(shí)現(xiàn)完完全的入入侵防御御，就需要將將完全協(xié)協(xié)議分析析和在線線防御相相融合，這這就是入入侵防御御系統(tǒng)（IIPS）：onllinee式在線線部署，深深層分析析網(wǎng)絡(luò)實(shí)實(shí)時(shí)數(shù)據(jù)據(jù)，精確確判斷隱隱含其中中的攻擊擊行為，實(shí)實(shí)施及時(shí)時(shí)的阻斷。入侵防御系系統(tǒng)和入侵檢檢測系統(tǒng)統(tǒng)入侵檢測系系統(tǒng)、入入侵防御御系統(tǒng)是是兩款互互相獨(dú)立立，但又又有著內(nèi)

13、內(nèi)在聯(lián)系系的安全全產(chǎn)品：入侵檢測系系統(tǒng)以旁旁路方式式部署，監(jiān)監(jiān)視交換換機(jī)上的的所有實(shí)實(shí)時(shí)傳輸輸數(shù)據(jù)，專注的是全面檢測、有效呈現(xiàn)，這意味著入侵檢測系統(tǒng)是作為安全監(jiān)督管理工具存在，提供給用戶全面的信息展現(xiàn)，為改善用戶網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制環(huán)境提供決策依據(jù)。入侵防御系系統(tǒng)以在在線方式式部署，實(shí)實(shí)時(shí)分析析鏈路上上的傳輸輸數(shù)據(jù)，對對隱藏在在其中的的攻擊行行為進(jìn)行行阻斷，專專注的是是深層防防御、精精確阻斷斷，這意意味著入入侵防御御系統(tǒng)是是作為安安全防御御工具存存在，解解決用戶戶面臨的的實(shí)際應(yīng)應(yīng)用上的的難題，進(jìn)進(jìn)一步優(yōu)優(yōu)化用戶戶網(wǎng)絡(luò)的的風(fēng)險(xiǎn)控控制環(huán)境境。關(guān)注點(diǎn)的不不同、部部署目標(biāo)標(biāo)的不同同決定了了兩款產(chǎn)產(chǎn)品在客客戶

14、價(jià)值值上的差差異和發(fā)展方方向上的的不同。對于那些重重點(diǎn)關(guān)注注風(fēng)險(xiǎn)控控制，由由于風(fēng)險(xiǎn)險(xiǎn)管理要要求不高高，對檢檢測和監(jiān)監(jiān)控?zé)o具具體要求求的行業(yè)業(yè)，使用用入侵防防御系統(tǒng)統(tǒng)就可以以很好的的滿足其其安全需需求。對于那些IIT設(shè)施施是其業(yè)業(yè)務(wù)運(yùn)營營基礎(chǔ)的的行業(yè)，IIT設(shè)施施的風(fēng)險(xiǎn)險(xiǎn)將極大大影響其其經(jīng)營風(fēng)風(fēng)險(xiǎn)，他他們既關(guān)關(guān)注風(fēng)險(xiǎn)險(xiǎn)管理又又關(guān)注風(fēng)風(fēng)險(xiǎn)控制制，希望望通過風(fēng)風(fēng)險(xiǎn)管理理不斷完完善風(fēng)險(xiǎn)險(xiǎn)控制措措施，這這種類型型的用戶戶需要的的是入侵侵檢測和和入侵防防御相結(jié)結(jié)合的解解決方案案。對于只關(guān)注注風(fēng)險(xiǎn)管管理的檢檢測與監(jiān)監(jiān)控，監(jiān)監(jiān)督風(fēng)險(xiǎn)險(xiǎn)控制的的改進(jìn)狀狀況的監(jiān)監(jiān)督管理理機(jī)構(gòu)和和部門，防防御具體體的攻擊擊行為不不是

15、其工工作的重重點(diǎn)，他他們需要要的是能能夠全面面呈現(xiàn)風(fēng)風(fēng)險(xiǎn)信息息的入侵侵檢測系系統(tǒng)。深層防御與與精確阻阻斷深層防御有數(shù)據(jù)顯示示，70%以上的的攻擊行行為發(fā)生生在傳輸輸層和應(yīng)應(yīng)用層之之間，我們稱稱這類44-7層層上的攻攻擊為深深層攻擊擊行為。深深層攻擊擊行為有有如下特特點(diǎn)：第一：新攻攻擊種類類出現(xiàn)頻頻率高，新新攻擊手手段出現(xiàn)現(xiàn)速度快快。據(jù)美國CEERT/CC的的統(tǒng)計(jì)數(shù)數(shù)據(jù)，220066年共收收到信息息系統(tǒng)漏漏洞報(bào)告告80664個(gè)，比比20005年增增長了334.66%，漏漏洞數(shù)量量的迅速速增長標(biāo)標(biāo)志著新新攻擊類類型的迅迅速增長長，而在在同一份份報(bào)告中中，采用用分布式式蜜罐技技術(shù)捕獲獲的新攻攻擊樣本

16、本數(shù)量平平均每天天有近1100個(gè)個(gè)，最多多的一天天幾近7700，這這意味著著平均每每天發(fā)現(xiàn)現(xiàn)1000種新的的攻擊手手段，最最多的一一天發(fā)現(xiàn)現(xiàn)的新攻攻擊手段段可多達(dá)達(dá)7000種，這這是一個(gè)個(gè)非常驚驚人的數(shù)數(shù)據(jù)。第二：攻擊擊過程隱隱蔽。文件捆綁：打開一一份文檔檔，結(jié)果果執(zhí)行了了一個(gè)與與文檔捆捆綁的木木馬程序序；文件件偽裝：可愛的的熊貓圖圖片，竟竟然是蠕蠕蟲病毒毒；跨站站腳本攻攻擊：僅僅僅是訪訪問了一一個(gè)網(wǎng)站站的頁面面，就被被安上了了間諜軟軟件。攻攻擊行為為正以越越來越可可以亂真真的面貌貌出現(xiàn)。除了深層攻攻擊行為為這些自自身的特特點(diǎn)外，越越來越多多的業(yè)務(wù)務(wù)應(yīng)用，也也增加了了判斷攻攻擊行為為的難度度：

17、到底底是正常常的應(yīng)用用還是是是違規(guī)的的應(yīng)用呢呢？如何更好的的實(shí)現(xiàn)對對這些深深層攻擊擊的防御御，是入入侵防御御系統(tǒng)需需要解決決的問題題。深層需要高高效和準(zhǔn)準(zhǔn)確，防防御則意意味著及及時(shí)的阻阻斷，深深層防御御需要兼兼顧兩者者。精確阻斷啟明星辰認(rèn)認(rèn)為：深深層防御御之道，精精確阻斷斷為先。精確阻斷是是深層防防御的先先決條件件：沒有有實(shí)現(xiàn)對對攻擊行行為的準(zhǔn)準(zhǔn)確判斷斷，誤阻阻斷了正正常業(yè)務(wù)務(wù)或者是是沒有阻阻斷那些些隱藏的的、變形形的攻擊擊行為，都都將給客客戶帶來來巨大的的損失。而而深層防防御也對對精確阻阻斷提出出了更高高的要求求：不能能對新的的攻擊行行為實(shí)現(xiàn)現(xiàn)精確的的阻斷，深深層防御御就無從從談起。深層防御

18、、精精確阻斷斷，是天天清入侵侵防御系系統(tǒng)客戶戶價(jià)值的的核心。產(chǎn)品技術(shù)特特點(diǎn)串行防御和和免疫防防護(hù)天清入侵防防御系統(tǒng)統(tǒng)支持串行行接入模模式，串串接在網(wǎng)網(wǎng)絡(luò)當(dāng)中中，以邊邊界防護(hù)護(hù)設(shè)備的的形式接接入網(wǎng)絡(luò)絡(luò)，任何何對受保保護(hù)網(wǎng)絡(luò)絡(luò)的訪問問數(shù)據(jù)都都將穿過過防御引引擎。其其標(biāo)準(zhǔn)的的接入方方式如下下圖所示示：圖2：串接接模式的的部署和傳統(tǒng)入侵侵檢測設(shè)設(shè)備不同同的串接接模式，加加強(qiáng)了實(shí)實(shí)時(shí)防御御功能。和和傳統(tǒng)的的邊界防防護(hù)設(shè)備備防火墻墻相比，兩兩者的區(qū)區(qū)別如下下圖所示示：圖3：防火火墻和IIPS的的不同阻阻斷在發(fā)現(xiàn)攻擊擊行為之之后，天天清入侵侵防御系系統(tǒng)可以以主動的的阻斷這這些攻擊擊行為，對對內(nèi)部網(wǎng)網(wǎng)絡(luò)的系系

19、統(tǒng)實(shí)現(xiàn)現(xiàn)免疫防防護(hù)。即即使內(nèi)部部系統(tǒng)存存在相應(yīng)應(yīng)的風(fēng)險(xiǎn)險(xiǎn)漏洞也也可以由由入侵防防御引擎擎來將實(shí)實(shí)現(xiàn)先于于攻擊達(dá)達(dá)成的防防護(hù)。高效的數(shù)據(jù)據(jù)處理性性能天清入侵防防御系統(tǒng)統(tǒng)有一個(gè)個(gè)顯著的的特點(diǎn)就就是可以以支持串串行接入入模式。正正如很多多邊界防防護(hù)設(shè)備備一樣，串串行的接接入模式式需要面面對的一一個(gè)主要要問題是是如何使使設(shè)備不不成為網(wǎng)網(wǎng)絡(luò)傳輸輸?shù)钠款i頸。天清清入侵防防御系統(tǒng)統(tǒng)在原有有的高性性能報(bào)文文處理架架構(gòu)之上上，還采采用了如如下技術(shù)術(shù)來確保保傳輸性性能：POLL技技術(shù)：在在通常的的系統(tǒng)中中，數(shù)據(jù)據(jù)處理都都是采用用中斷響響應(yīng)機(jī)制制來進(jìn)行行的。采采用中斷斷在數(shù)據(jù)據(jù)包較少少的情況況下，是是一個(gè)比比較好的

20、的解決方方案，但但在數(shù)據(jù)據(jù)量較大大的情況況下，尤尤其是在在千兆級級環(huán)境下下，處理理大量中中斷所消消耗的系系統(tǒng)資源源是相當(dāng)當(dāng)可觀的的，我們們在這里里采用了了輪詢方方式的ppolll技術(shù)，CCPU一一直保持持工作狀狀態(tài)，而而并且等等待喚醒醒狀態(tài)，以以節(jié)約在在大數(shù)據(jù)據(jù)量情況況下的CCPU開開銷。在在對數(shù)據(jù)據(jù)包的轉(zhuǎn)轉(zhuǎn)發(fā)中采采用pooll技技術(shù)，可可以確保保較低的的傳輸時(shí)時(shí)延。驅(qū)動的內(nèi)部部無鎖技技術(shù)：常常見的數(shù)數(shù)據(jù)結(jié)構(gòu)構(gòu)有這么么三種：堆棧、隊(duì)隊(duì)列和樹樹。在不不同的情情況下，采采用不同同的數(shù)據(jù)據(jù)結(jié)構(gòu)，我我們對捕捕獲后的的數(shù)據(jù)的的存儲方方式采用用的是環(huán)環(huán)狀隊(duì)列列，也就就是說，無無需等待待中斷，隨隨時(shí)都可可以

21、從存存儲空間間中實(shí)時(shí)時(shí)獲得可可進(jìn)行分分析的數(shù)數(shù)據(jù)，自適應(yīng)的CCPU負(fù)負(fù)載均衡衡技術(shù)：我們將將每一個(gè)個(gè)實(shí)際的的CPUU都虛擬擬成了多多個(gè)虛擬擬的CPPU，分分別用于于處理不不同的事事務(wù)：分分別處理理中斷、檢檢測和通通訊等。以上這三項(xiàng)項(xiàng)技術(shù)的的協(xié)同應(yīng)應(yīng)用，使使得天清清入侵防防御系統(tǒng)統(tǒng)在數(shù)據(jù)據(jù)包的處處理性能能方面有有著出眾眾的表現(xiàn)現(xiàn)。其微微秒級的的分析時(shí)時(shí)延，完完全可以以適應(yīng)電電信級用用戶網(wǎng)絡(luò)絡(luò)環(huán)境需需求。權(quán)威性的檢檢測特征征庫啟明星辰認(rèn)認(rèn)為，基基于誤用用的檢測測方法其其核心就就是檢測測特征（ssignnatuure）的的提取，構(gòu)構(gòu)造一個(gè)個(gè)好的入入侵防御御系統(tǒng)，依依賴于能能否準(zhǔn)確確地提取取和描述述檢

22、測特特征。特特別是在在串行環(huán)環(huán)境下，明明晰而精精確的檢檢測特征征將會是是決定保保護(hù)措施施優(yōu)劣的的重要砝砝碼。天清入侵防防御系統(tǒng)統(tǒng)在提煉煉檢測特特征的時(shí)時(shí)候采用用了如下下兩種方方式：方式A：基基于漏洞洞機(jī)理的的分析方方法。利用漏洞機(jī)機(jī)理的方方法來提提取和定定義特征征，可以以實(shí)現(xiàn)檢檢測和具具體攻擊擊工具的的無關(guān)性性，特別別對于防防止新型型變種的的攻擊和和攻擊工工具改造造非常有有效。方式B：基基于攻擊擊過程的的分析方方法。攻擊過程分分析法則則是完全全站在攻攻擊者的的角度，破破析完整整的攻擊擊過程，可可以判斷斷攻擊是是處在攻攻擊嘗試試階段還還是已經(jīng)經(jīng)攻擊成成功。另外，天清清入侵防防御系統(tǒng)統(tǒng)中對檢檢測特

23、征征的定義義都是通通過統(tǒng)一一的標(biāo)準(zhǔn)準(zhǔn)化VTT+語語言來描描述，VVT+語言的的使用，不不但保證證了特征征的快速速更新，還還向用戶戶提供了了便于自自行定義義檢測特特征的接接口，從從而擴(kuò)充充了檢測測內(nèi)容和和范圍。天清入侵防防御系統(tǒng)統(tǒng)的檢測防防御規(guī)則則庫全面面兼容CCVE和和CNCCVE，對對用戶而而言，提提供了更更詳細(xì)了了解網(wǎng)絡(luò)絡(luò)中發(fā)生生行為的的機(jī)會。準(zhǔn)確的攻擊擊檢測能能力入侵檢測系系統(tǒng)對客客戶帶來來的價(jià)值值體現(xiàn)在在對攻擊擊和可疑疑行為的的及時(shí)發(fā)發(fā)現(xiàn)和主主動響應(yīng)應(yīng)上，而而實(shí)現(xiàn)及及時(shí)的發(fā)發(fā)現(xiàn)，就就要求入入侵檢測測系統(tǒng)擁擁有全面面的攻擊擊檢測能能力。天清入侵防防御系統(tǒng)統(tǒng)在對數(shù)數(shù)據(jù)鏈路路層到應(yīng)應(yīng)用層的的

24、網(wǎng)絡(luò)數(shù)數(shù)據(jù)全面面分析的的基礎(chǔ)之之上，融融合漏洞洞分析信信息，可可以對上上報(bào)的攻攻擊事件件進(jìn)行事事先的預(yù)預(yù)分析，達(dá)達(dá)到精確確報(bào)警的的目的。此外，天清清入侵防防御系統(tǒng)統(tǒng)采用了了啟明星星辰公司司設(shè)計(jì)并并實(shí)現(xiàn)的的高效協(xié)協(xié)議自識識別方法法VFFPR (Veenuss Faast Prootoccol Reccognnitiion)，該協(xié)協(xié)議自識識別方法法基于協(xié)協(xié)議指紋紋識別和和協(xié)議規(guī)規(guī)則驗(yàn)證證技術(shù)實(shí)實(shí)現(xiàn)，能能夠在網(wǎng)網(wǎng)絡(luò)協(xié)議議通信初初期根據(jù)據(jù)前期網(wǎng)網(wǎng)絡(luò)報(bào)文文特征自自動識別別所屬協(xié)協(xié)議類型型，并采采用預(yù)先先建立的的協(xié)議驗(yàn)驗(yàn)證規(guī)則則進(jìn)一步步驗(yàn)證協(xié)協(xié)議識別別結(jié)果正正確性。VFPR方法包括前期協(xié)議樣本特征提取和在

25、線協(xié)議識別兩個(gè)階段，其中，協(xié)議樣本特征提取階段包括協(xié)議類型樣本的協(xié)議指紋提取和相應(yīng)協(xié)議驗(yàn)證規(guī)則建立過程，協(xié)議識別階段包括協(xié)議指紋快速匹配和協(xié)議識別結(jié)果快速驗(yàn)證等過程方法。VFPR方法的協(xié)議指紋識別過程基于快速哈希表方法實(shí)現(xiàn)，而協(xié)議驗(yàn)證規(guī)則執(zhí)行過程基于高效的專用網(wǎng)絡(luò)報(bào)文處理虛擬機(jī)實(shí)現(xiàn)。通過使用VFPR方法，對于一些采用非常規(guī)端口的協(xié)議也能實(shí)現(xiàn)及時(shí)的識別和檢測。簡易便捷的的管理部部署對于使用網(wǎng)網(wǎng)絡(luò)安全全產(chǎn)品的的用戶而而言，簡簡單管理理的第一一步就是是簡單的的部署方方式，天天清入侵侵防御系系統(tǒng)遵循循了“零更改改”的部署署原則?；谶@個(gè)個(gè)原則，天清入侵防御系統(tǒng)可以很容易的接入到用戶網(wǎng)絡(luò)當(dāng)中，并且不會

26、對網(wǎng)絡(luò)拓?fù)洹?yīng)用服務(wù)、運(yùn)營性能造成任何影響。用戶無需設(shè)置交換機(jī)鏡像，而只需將入侵防御引擎透明接入到網(wǎng)絡(luò)中，便可即時(shí)開始對網(wǎng)絡(luò)的防護(hù)。天清入侵防防御系統(tǒng)統(tǒng)除了支支持標(biāo)準(zhǔn)準(zhǔn)的單層層部署模模式外，還還支持多多級分布布式的部部署方式式。特別別的，對對于大規(guī)規(guī)模部署署的用戶戶來說，可可以按照照自身網(wǎng)網(wǎng)絡(luò)的行行政業(yè)務(wù)務(wù)結(jié)構(gòu)，來來部署與與之緊密密結(jié)合的的集中監(jiān)監(jiān)管、統(tǒng)統(tǒng)一控制制的分級級控制體體系。通通過集中中下發(fā)防防御策略略，使得得上級部部門可以以實(shí)現(xiàn)全全網(wǎng)統(tǒng)一一的安全全防御策策略，通通過統(tǒng)一一上報(bào)的的信息上上傳機(jī)制制，使得得上級部部門可以以及時(shí)了了解各下下屬單位位及全網(wǎng)網(wǎng)的安全全狀況，以以便及時(shí)時(shí)修改和和

27、更新防防御策略略。另外外，天清清入侵防防御系統(tǒng)統(tǒng)還支持持了多監(jiān)監(jiān)控臺設(shè)設(shè)置，多多個(gè)用戶戶可以僅僅安裝信信息顯示示中心系系統(tǒng)，并并連接到到天清入入侵防御御系統(tǒng)的的控制中中心，來來實(shí)時(shí)接接收所有有上報(bào)的的報(bào)警信信息。此此種方式式特別的的適合于于有分權(quán)權(quán)管理需需求的用用戶。 靈活的安全全策略管管理天清入侵防防御系統(tǒng)統(tǒng)采用基基于策略略的防護(hù)護(hù)方式，內(nèi)內(nèi)置了多多種默認(rèn)認(rèn)安全策策略集，用戶可以根據(jù)需要選擇最適合自己需要的策略，以達(dá)到最佳防護(hù)效果。除了默認(rèn)的的安全策策略集外外，天清清入侵防防御系統(tǒng)統(tǒng)還提供供了向?qū)?dǎo)式的策策略管理理方式，在策略集間還可實(shí)現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策

28、略。對于初次使使用天清清入侵防防御系統(tǒng)統(tǒng)的客戶戶，天清清還提供供了動態(tài)態(tài)策略調(diào)調(diào)整的方方式，可可以根據(jù)據(jù)預(yù)設(shè)事事件發(fā)生生的頻率率來自動動調(diào)整使使用的安安全策略略，從而而實(shí)現(xiàn)減減少日志志量和自自動修改改事件風(fēng)風(fēng)險(xiǎn)級別別。豐富的響應(yīng)應(yīng)分析方方式天清入侵防防御系統(tǒng)統(tǒng)在發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)中中的各種種攻擊和和違規(guī)行行為后，除了主動式的阻斷外，還可以通過多種響應(yīng)方式及時(shí)通知系統(tǒng)管理員得知，這些方式包括：屏幕顯示報(bào)報(bào)警后臺日志記記錄SNMP Traap信息息發(fā)送電子郵郵件聲音報(bào)警和和執(zhí)行自自定義程程序除了實(shí)時(shí)的的響應(yīng)方方式外，天清入侵防御系統(tǒng)對儲存在后臺數(shù)據(jù)庫中的日志信息還提供了多種的分析手段。用戶可以從系統(tǒng)提供的

29、100余種默認(rèn)報(bào)表模版中進(jìn)行選擇，既可以對事件詳細(xì)追蹤處理，也可以發(fā)現(xiàn)主要安全事件的焦點(diǎn)所在。天清入侵防防御系統(tǒng)統(tǒng)還提供供了多樣樣化的日日志過濾濾查詢條條件，用用戶可以以進(jìn)行自自主定義義習(xí)慣的的查詢模模式，進(jìn)進(jìn)行有效效的日志志分析查查詢，報(bào)報(bào)表的題題頭、內(nèi)內(nèi)容、字字段可供供用戶自自主調(diào)整整。通過對于缺缺省模版版的選擇擇和自定定義過濾濾查詢條條件，用用戶可以以進(jìn)行自自主制定定多樣化化的分析析報(bào)告模模版并進(jìn)進(jìn)行保存存使用。對于生成的的報(bào)表，用用戶還可可以手動動、自動動導(dǎo)出為為多種常常用格式式（如：WORRDEEXCEEL），并并設(shè)置郵郵件定時(shí)時(shí)發(fā)送報(bào)報(bào)告功能能。完善的系統(tǒng)統(tǒng)可靠保障障和傳統(tǒng)的入入侵

30、檢測測系統(tǒng)不不同，串串行接入入的天清清入侵防防御系統(tǒng)統(tǒng)對系統(tǒng)統(tǒng)可靠性性的要求求要高出出許多，在在一些特特殊情況況下，確確保網(wǎng)絡(luò)絡(luò)業(yè)務(wù)是是第一要要義。這這些特殊殊情況包包括：特殊情況一一：掉電電及硬件件故障。掉電對網(wǎng)絡(luò)絡(luò)設(shè)備的的危害是是不言而而喻的。特特別的，當(dāng)當(dāng)串接在在網(wǎng)絡(luò)中中的入侵侵防御系系統(tǒng)掉電電了，對對業(yè)務(wù)層層面的影影響將會會是巨大大的。同同樣，入入侵防御御系統(tǒng)出出現(xiàn)硬件件故障，也也將對業(yè)業(yè)務(wù)運(yùn)營營造成影影響。特殊情況二二：系統(tǒng)統(tǒng)軟件故故障。天清入侵防防御系統(tǒng)統(tǒng)內(nèi)置WWatcchDoog功能能，對入入侵防御御引擎的的系統(tǒng)狀狀態(tài)實(shí)現(xiàn)現(xiàn)實(shí)時(shí)的的監(jiān)控。一一旦發(fā)現(xiàn)現(xiàn)防御引引擎出現(xiàn)現(xiàn)軟件故故障，即即刻啟動動BYPPASSS功能。圖4：BYYPASSS的示示意圖部署結(jié)構(gòu)常規(guī)部署模模式典型部署位位置如下下圖所示示：圖5：常規(guī)規(guī)部署模模式A類型的部部署：邊邊界防