入侵检测系统通用技术要求.
5
性能要求
6、 管理能力
支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式;
在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等) 每秒并发 TCP 会话数≥100000; 最大并发 TCP 会话数≥200000; 最大包捕获和处理能力≥200Mb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接;
入侵检测系统技术要求
千兆入侵检测系统
编号
项目
1. 机种
பைடு நூலகம்
要求 千兆机架式硬件设备;
备注
*
2. 监听口要求/数量 多模光纤(FDDI)模块≥2;
3.
语言支持要求
支持全中文的操作界面以及中文详细的解决方 *
案报告。
4. 入侵检测能力 支持深度协议识别,能够监测基于 Smart Tunnel
方式伪造和包装的通讯;
足即为废标。
7. 日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的 情况下,探测引擎仍然会将检测到的攻击行为 在探测器本地保存,等到网络恢复正常自动的 同步到控制台或日志数据库。不会出现网络断 开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容;
用信息安全产品认证》;
百兆入侵检测系统
编号
项目
1
机种
2
监听口/数量
3
语言支持要求
4
入侵检测能力
要求
备注
百兆机架式硬件设备;
*
10/100Base-TX,总数≥2;
支持全中文的操作界面以及中文详细的解决方 *
案报告
支持深度协议识别,能够监测基于 Smart Tunnel 方式伪造和包装的通讯; 支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
情况下,探测引擎仍然会将检测到的攻击行为
在探测器本地保存,等到网络恢复正常自动的
同步到控制台或日志数据库。不会出现网络断
开而丢失告警信息的情况;
具备对反 IDS 攻击技术的防护能力,如 stick *
类攻击、Man-in-Middle 等
报表系统可以自动生成各种形式的攻击统计和
流量统计报表报表,形式包括日报表,月报表,
报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表,形式包括日报表,月报表, 年报表等,通过来源分析,目标分析,类别分 析等多种分析方式,以直观、清晰的方式从总 体上分析网络上发生的各种事件,为管理人员 提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
用信息安全产品认证》;
注:在设备的规格和技术要求中标注*号项为必须满足的要求,任何一项不满
5. 性能要求 6. 管理能力
每秒并发 TCP 会话数≥200000; 最大并发 TCP 会话数≥500000; 最大处理能力≥1.2Gb; 产品的所有的告警和流量信息都可以实时的汇 总到监控中心,支持集中式的探测器管理、监 控和入侵检测分析; 支持控制台与探测器的双向连接; 控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
控制台支持任意层次的级联部署,上级控制台 可以将最新的升级补丁、规则模板文件、探测 器配置文件等统一发送到下级控制台,保持整 个系统的完整统一性; 能够提供多种响应方式,包括控制台告警、 EMAIL、记录、切断连接、以及执行用户自定义 行为。支持主流防火墙联动。
7
日志与报告能力 支持日志缓存,在探测引擎的网络完全断开的
年报表等,通过来源分析,目标分析,类别分
析等多种分析方式,以直观、清晰的方式从总
体上分析网络上发生的各种事件,为管理人员
提供方便;
对发现的攻击行为应该记录到典型数据库中例
如 SQL Server 等,并提供基于时间、事件、风
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
险级别等组合的分析功能,并且可以产生各种
图片、文字的报告形式。无需安装任何第三方
软件支持输出到通用的 HTML、JPG、WORD、Excle
等格式文件;
8.
必须满足的国家 通过以下国家权威部门的认证:包括《公安部 *
相关标准及规范 的销售许可证》、《国家信息安全测评认证中心
认证》、《涉密信息系统产品检测证书》以及《军
支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警;
内置智能攻击结果分析,在入侵检测的平台上, *
无需使用外部的工具(如扫描器)就能够准确 检测和验证攻击行为成功与否;
产品的知识库全面,至少能对 1800 种以上的攻 *
击行为进行检测,规则库检测攻击的性能领先、 规则更新快,至少能够做到一周一次检测模块 的更新;升级过程不停止监测过程;事件库与 CVE 兼容; 支持所有部件包括引擎、控制台、规则库在内 的实时在线升级(Live),所有部件均支持离线 升级,所有部件均支持定时自动在线升级,引擎 支持串口,控制台两种升级方式; 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控,并进行方便 直观的图形输出; 能够对 http,ftp,smtp,pop,telnet 等常用协议 进行连接回放;支持对 P2P 协议的解码和流量 排序,包括(BitTorrent、MSN 等);
