服务电话:400-0972-788
申请试用

首页 > 产品中心 > 入侵检测IDS

需求分析

 随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。那么哪些地方存在威胁?存在什么威胁?如何进行入侵检测(IDS)?如何消除威胁规避风险?成了摆在我们面前的现实任务。

产品简介

天阗入侵检测与管理系统(IDS)是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。
该产品在精确检测的基础上强调对威胁的可管理性(如:威胁分析、威胁处理),尤其是对可能产生的大量事件进行了智能过滤,仅向使用者展示真正需要关注的威胁,在减轻使用者工作量的同时,保障威胁处理的及时性。

功能特点

组织化威胁管理
威胁分析与处理帮助
面向安全结论的报表
智能报警分析与过滤
全面用户上网行为监控
具备智能流量分析能力
精确的Web威胁检测
全面精确的威胁发现

 
技术优势
 
事件日志与策略自动优化
根据用户的安全态势及发生频率识别垃圾事件,并进行策略优化处理。

简单威胁管理

采用去技术化的向导对威胁进行分析和处理,降低了使用者的维护工作量。

智能威胁分析

能够对上报的事件进行关联分析,识别出重要报警,提醒用户关注。

全面威胁检测

对常见的网络威胁、异常流量等攻击行为能够准确高效的检测。
典型应用
 

在不同的环境下,使用新一代天阗入侵检测与管理系统(IDS)可以实现多种解决方案。根据检测的需要,可以快速、灵活部署在网络核心、网络边界、分支机构等不同的位置。并且,根据企业的不同规模,可以采用不同的部署与管理方案。


小型网络扁平化管理方案


对于小型网络,由于规模比较小,结构相对扁平,从简化管理的角度来讲,适合采用简单的扁平化部署与管理方案。这种环境下,往往只需部署一台检测引擎,采用单级管理的模式,根据管理策略的需要,可以选择采用“虚拟引擎”的划分,对网络采用分对象的虚拟化管理(在实际环境中,虚拟化管理非常少见),一般来说,在小型网络环境中,采用“单机引擎 + 单级管理 + 单一策略”是最常见的情况。


中型网络对象化管理方案


对于中型网络,其特点是组织规模相对较大,网络环境相对复杂,主机数量相对较多,在这种网络环境下,不宜直接采取扁平化简单管理的方法。为了便于网络的威胁管理,通常“分区监控 + 监测对象划分 + 多点部署”的方案进行切割威胁管理:


分区监控:对于不同区域网络采用不同的设备进行监控。


监测对象化分:将同一区域内的不同主机/网段,采用虚拟化(虚拟引擎)的方式进行逻辑对象划分,比如:将办公网按照网段划分成不同的部门,将生产网根据不同的服务器地址划分成不同的业务等,这样划分之后,被监控对象(服务器、网段)便被映射成了资产,这种映射更利于中型网络环境下的威胁管理。


多点部署:因为采用了分区监控的方式,因此在部署上就需要在多个流量汇聚节点部署多台设备,采用集中管理的方式进行威胁管理。


4大型网络层级化管理方案


对于大型网络,其特点是组织规模大,网络环境复杂,主机数量多,除了划分成多区域网络之外,还可能存在分支机构,并且分支机构之间也可能存在着层级关系。对于这种大型网络,为了便于威胁管理,一般采用节点分治的方案加以解决。
具体来说就是:“节点内部根据网络规模采取简单扁平化或分区监控 + 节点之间采用数据流自底向上,控制流自底向下的集中管理”,同时,根据各个分治节点内部的情况,可以选择采用虚拟化(虚拟引擎)的方式将监控区域进一步映射成资产。


层级分治:将不同的分支节点映射成不同层级上的独立管理节点


集中管理:将不同分治节点的威胁数据按照层级关系逐层上报,并在总控(根节点)进行威胁的集中管理。同时总控也可以根据需要对下级的分治节点进行策略下发、添加组件、系统升级等维护工作

用户价值

天阗入侵检测与管理系统(IDS)是一款智能化的入侵检测系统,用智能算法,快速过滤掉海量的低质量报警事件;用资产关联算法,使系统展示出来的事件数量大幅减少;用代码优化技术,提升检测处理性能等等,旨在帮助用户,快速定位网络威胁、聚焦重点事件、降低管理难度。运用可视化技术手段、独有的智能算法,把复杂的网络威胁检测的问题变得更加直观有效。通过准确的日报、周报、月报,实现每一条结论都有据可查。从定量分析到定性分析为用户提供准确的、客观的网络安全建设建议。

相关产品
工业SOC 工业互联网信息安全管理系统(工业SOC)是专门面向工业互联网领域信息安全防护的综合管理平台系统。该产品在继承了启明星辰泰合信息安全运营中心系统(TSOC)强大的安全信息采集、分析和展现能力基础上,提供了适应工业互联网环境安全监控和防护的综合管理功能。
工控脆弱性扫描 天镜脆弱性扫描与管理系统V6.0(工控系统专用版)根据工业控制系统已知的安全漏洞特征对SCADA、DCS系统、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别,检测存在漏洞并生成相应的报告,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策
APT高级威胁检测 天阗APT检测系列,是一款针对恶意代码等未知威胁具有细粒度检测效果的专业安全产品,可实现包括对:未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测。
工控IDS与审计 针对工业控制系统的专用网络安全检测系统,拥有国际顶尖的入侵检测技术,支持对多种工业控制网络协议的深入解读,提供特有的工控网络安全检测策略,并可针对工控网络敏感指令数据进行记录和异常检测,不仅可检测工控网络中发生的入侵攻击,还可实时监测工控网络中的敏感操控,
网络流秩序分析 为适应工控网络的特性,工控网络流秩序分析诊断系统采用流行为分析为主、事件分析为辅的技术路线,通过综合监控,秩序监控,秩序诊断三大核心功能来描述客户当前的工控网络状况,来反映工控网络中的访问违规,工控违规和工艺异常。
网络流量融合探针 网络流量超融合探针采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法,通过对网络流量的深度包解析和流解析,实现了网络各种威胁的全面有效检测。

获取更多相关产品详解,立即咨询吧!

关注“云巴巴严选云”

帮您选云,买云,用云

关注“Yun88网”

了解最新技术,优质产品服务

关注“云巴巴”官方抖音号

人人都看得懂得云测评

  • 在线咨询
  • 电话咨询
  • 微信咨询
  • 免费试用