天融信网络卫士入侵检测系统IDS产品白皮书

天融信产品白皮书网络卫士入侵检测系统 TopSentry系列

网络卫士入侵检测 TopSentry

天融信网络卫士入侵检测系统TopSentry经过多年的技术积累与创新，已成为天融信既防火墙和VPN之后的又一主力产品线。据权威数据机构统计，网络卫士入侵检测系统国内市场占有率近两年来一直处于领先地位。用户已覆盖能源、金融、烟草、电信等多个行业，并得到良好赞誉。

网络卫士入侵检测系统TopSentry采用多重检测、多层加速等多项天融信专有安全技术，更出色的降低了IDS产品的误报率、漏报率，有效提高了IDS的分析能力，使达到线速包捕获率成为可能。天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS产品普遍存在的瓶颈问题。

多重检测技术

综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，保证IDS检测准确性，极大地降低了漏报率与误报率。

◆误用检测（Misuse Detection ）：指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。

◆异常检测(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。

◆智能协议分析技术：天融信的智能协议分析技术充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在。与非智能化的模式匹配相比，协议分析减少了误报的可能性。与模式匹配系统中传统的穷举分析方法相比，在处理数据包和会话时更迅速、有效。

◆会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上进行检测分析。而基于数据包的入侵检测技术只对每个数据包进行检查。与基于数据包的入侵检测技术相比，准确率高。

◆实时关联检测技术：通过天融信TSM系统将网络卫士IDS的报警事件同其他事件进行实时关联分析，进一步提高检测准确性。

多层加速技术

◆专用的高速硬件平台

◆底层抓包加速引擎

◆双网卡分流重组技术

◆增强直接用户空间访问（EDUA）技术

◆多线程分散式重组引擎

◆高效的流定位及状态型的协议分析技术

◆无缝集成的优化智能模式匹配算法

强大的蠕虫病毒检测能力

实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫攻击及时提供相关事件规则；对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。网络卫士入侵检测系统内置600条以上的蠕虫检测规则。

SSL加密访问检测技术

通过解码基于SSL加密的访问数据，分析、检测SSL加密访问中的攻击行为，从而可以保护内部提供SSL 加密访问的重要服务器的安全性。

强大的报文回放能力

能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。

基本的典型应用

对于一般中小型企业的网络部署，TopSentry的监听口可通过端口镜象来同时监控内网和DMZ区的入侵，起到入侵检测的作用。部署如下图：

双网卡分流重组技术在实际网络环境中的应用

在高速的千兆网络环境中，用户需要监听的流量信息可能多于1000M（源自交换机的双向镜像），传统IDS产品采用单网卡单独工作的方式，大于千兆的网络数据就会被IDS监听网卡所丢失。天融信网络卫士入侵检测系统通过首创的“双网卡分流重组技术”，通过两块网

卡的协同工作为用户解决了这个难题，部署如下图：

虚拟引擎技术的典型应用

如图2所示，假设DMZ网络中的重要服务器有：邮件服务器、Web服务器，那么Sensor0

的安全策略将侧重于检测邮件和Web服务相关的事件，响应策略可以设置为常规审计和防

火墙联动；而针对内网的Sensor1，主要侧重于违规操作等的检测，所以响应策略设置为常

规审计即可。

◆公安部颁发的《计算机信息系统安全专用产品销售许可证》

◆中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》

◆国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

◆中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

◆国际安全组织CVE(Common Vulnerabilities & Exposures通用漏洞披露) 兼容性认证(CVE Compatible)

天融信(C)版权所有V1.0

文档维护：吴青松

E-MAIL:wuqs@

声明：非官方文档，仅供参考