蓝盾入侵防御（BD-NIPS）系统技术白皮书蓝盾信息安全技术股份有限公司目录一、产品需求背景 (3)二、蓝盾入侵防御系统 (4)2.1概述 (4)2.2主要功能 (5)2.3功能特点 (8)2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 (8)2.3.2 检测模式支持和协议解码分析能力 (8)2.3.3 检测能力 (9)2.3.4 策略设置和升级能力 (11)2.3.5 响应能力 (12)2.3.6管理能力 (13)2.3.7 审计、取证能力 (14)2.3.8 联动协作能力 (15)三、产品优势 (16)3.1强大的检测引擎 (16)3.2全面的系统规则库和自定义规则 (16)3.3数据挖掘及关联分析功能 (16)3.4安全访问 (16)3.5日志管理及查询 (17)3.6图形化事件分析系统 (17)四、型号 (18)一、产品需求背景入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。

也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？答案是肯定的。

入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与在线防护系统驱逐入侵攻击。

在入侵攻击过程中，能减少入侵攻击所造成的损失。

在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。

入侵防御被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

有了入侵防御系统，您可以：✓知道是谁在攻击您的网络✓知道您是如何被攻击的✓及时阻断攻击行为✓知道企业内部网中谁是威胁的✓减轻重要网段或关键服务器的威胁✓取得起诉用的法律证据二、蓝盾入侵防御系统2.1 概述蓝盾NIPS是一种实时的网络入侵防御和响应系统。

它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。

在系统受到危害之前发出警告，实时对攻击做出阻断响应，并提供补救措施，最大程度地为网络系统提供安全保障。

蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。

用户可以实时查看网络中的通讯。

可设置监控IP的流量、端口的流量和总流量，有利于管理员更正确地了解分析网络行为。

一旦发现可疑行为，蓝盾IPS可以准确地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。

蓝盾IPS 可以根据用户的设置，将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式发给客户，可供用户查询。

蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复杂的网络结构。

蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异常等方式的检测，其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。

系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。

蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了4-6个固定的10/100/1000Mbps自适应以太网接口（4电或4电2光），最多可以同时保护3个子网。

同时，蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。

蓝盾NIPS采用专为安全应用度身定做的安全操作系统，可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。

2.2 主要功能编号功能功能描述1 支持镜像口监听、透明、路由、混合部署模式。

BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御(或监控)网络，实时对攻击做出反应，最大程度地为网络提供安全保障。

2 支持多种协议解码分析能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于这些协议的交互命令和命令执行情况。

综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。

3 完备的分析检测能力BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。

综合使用了特征匹配、协议分析、异常行为检测、关联分析、数据挖掘等方法，采用了自适应多协议融合分析技术。

4 强大的攻击特征模式库BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库共有8000多条，能检测出绝大多数攻击行为。

并且其中的攻击模式库也在不断地升级、更新。

5 强大的蠕虫检测能力BD-NIPS拥有强大的蠕虫检测隔离能力。

内置有1000多条蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。

同时通过异常检测技术能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。

6 实时检测基于服务的攻击行为BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。

主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。

7 有效的异常检测技术有效的异常检测与统计检测等检测方法能降低漏报率。

BD-NIPS 的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。

8 违规行为检测功能用户可以定义一些规则，监控内部网络各主机间的连接，保护一些重要的主机和服务器，对违反规定或不应该出现的连接，即使还没发生攻击，系统也会进行报警。

9 IP处理和碎片攻击检测具有IP处理和碎片攻击检测功能，防止黑客进行各种碎片攻击。

10 网络流量分析BD-NIPS提供流量分析功能。

能统计、分析网络数据流量，发现异常并及时报警。

11 灵活的策略设置BD-NIPS检测引擎内置了大约2600条入侵模式，可以检测已知的大部分入侵，BD-NIPS同时允许有经验的高级用户自定义入侵模式，做到量体裁衣，检测用户最为关注的事件。

12 支持实时系统升级BD-NIPS检测引擎内置有实时的升级模块，可以通过控制中心在线升级检测引擎，而不必停止入侵防御系统的正常工作，从而保证了入侵防御系统的无间断运行。

13 不断更新的入侵模式新的黑客技术不断涌现，攻击模式需要经常更新；广东天海威数码技术有限公司将定期地更新对最新攻击手段的识别，及时扩充到入侵模式库中，最大限度的防范黑客入侵；根据用户的需要，允许有经验的高级用户自定义入侵规则。

14 支持远程升级BD-NIPS具有完善的远程升级能力，用户可以在线远程更新攻击特征库或升级软件模块，补充最新发现的攻击特征，使系统拥有最新的产品特性。

15 实时的检测分析、响应能力BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。

系统可以实时监控网络中的通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关数据，实时向管理员告警，以便及时采取措施。

16 支持多种报警和响应手段BD-NIPS提供多种实时报警和响应手段，报警信息可以通过网络、有线、无线等多种方式通知管理员。

报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报警、消息报警等。

17 多网段检测、集中管理BD-NIPS可以检测用户系统的多个网络。

根据用户具体需求，每个检测引擎可以同时检测多达5个用户网络。

18 支持分级监控、集中管理BD-NIPS支持在大型网络中采用分级监控、集中管理模式。

下级的报警日志可根据日志报警策略一级一级向上汇总，甚至可送到总控制中心；上级控制中心可管理下级控制中心和下级检测引擎。

19 具有集管理、监控和分析功能于一体的图形化控制台为了确保网络系统的安全，减少入侵防御系统部署、配置、管理方面的支出，设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。

20 强大的信息记录、查询能力BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息（可以当作入侵的证据）、入侵警报信息、系统管理记录等。

21 强大的审计和实用的报表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、攻击报警数据、管理日志等进行分类统计、关联分析，可以根据用户的设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询、生成报表。

本系统支持TXT、HTML、PDF等多种报表形式。

22 全面的联动能力BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产品（防火墙等）和其它第三方厂家的安全产品实现联动。

入侵防御蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜测、DOS/DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与蓝盾防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防御。

流量监测系统可对网络流量进行实时监测，对 TCP、UDP、ICMP、FTP、P2P等协议及应用进行分析，对造成网络阻塞的源地址进行定位和记录。

实时阻挡攻击蓝盾入侵防御系统内嵌蓝盾防火墙及入侵防御系统，无论在何种部署模式下都可以对入侵进行在线实时阻挡。

图形化日志分析及报警系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。

支持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。

数据挖掘及关联分析蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能，能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好应对措施。

安全访问蓝盾NIPS设备的以太网口，按功能区分为管理口和业务口。

通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能，确保用户能够安全访问SecEngine设备管理口。

支持受限的访问协议：HTTP、HTTPS、SSH和SNMP。

日志管理及查询蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。

系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。