华为赛门铁克 网络智能入侵检测系统 NIP1000
华为赛门铁克 网络智能入侵检测系统 NIP1000为一种高效、准确和智能化的网络攻击检测产品,能实时采集网络系统中的信息数据,并通过综合分析和比较,判断是否有入侵和可疑行为的发生,并采用多种方式实时告警,记录攻击,阻断攻击者的进攻,从而起到保护用户网络和系统免受外部和内部的攻击的作用。NIP适用于电信、政府、金融、教育、能源和军队等行业,特别适合于需要极高网络安全性的机构,例如:审计机构、安全顾问机构、安全法律执行机构、Internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。
网络智能入侵检测系统 NIP1000产品特点
NIP1000强大的入侵检测和监控能力
· 提供扫描检测、后门(木马)检测、蠕虫检测、DOS 攻击检测、代码攻击检测等功能,可识别30大类、几千种入侵行为;
· 采用应用层分析技术,集成了强大的应用协议解码器,可以细粒度、完整的分析各种应用协议;
· 提供高级协议识别技术,即使修改默认端口,也可以进行正确解析;
· 提供邮件、MSN通讯、实时活动会话、文件传输、以及服务器工作状态监控,准确掌握用户行为,及时发现网络和服务器的异常。
NIP1000高性能的网络流量处理机制
· 通过独特的软件优化技术,使用专用数据通道完成从网口到分析引擎之间的高速数据交换,实现了数据采集过程的零拷贝技术,大大提高了产品在高带宽环境下的性能表现;
· 通过基于扩展零拷贝技术的高速报文捕获引擎、优化的高速模式匹配算法、强大的IP分片重组技术、优化的TCP流管理及定位技术等,达到线速流量处理能力;
· 通过特征分析和异常行为检测相结合,大大提高了检测的准确度和检测效率,减少了漏报、误报现象。
NIP1000多样化的报警响应方式
l 在及时发现攻击行为的同时,还能根据用户的配置对不同的攻击行为采取不同的响应措施,这些响应措施包括数据库记录、主动切断、邮件报警、SNMP报警、系统日志报警、SYSLOG上报以及安全设备联动,不仅能够做到记录攻击行为,将攻击行为通知管理员,而且能够对攻击行为起到阻断、延缓的作用。
NIP1000强大的协作联动能力
· 支持与其他安全产品的联动协作,支持主流的联动协议标准,并具备良好的可扩展联动接口,能够轻松实现与防火墙产品的联动;
· 支持与主流的多种交换机进行联动,可以在检测到高风险的入侵行为之后迅速关闭交换机端口或封堵指定的IP地址来切断攻击源;
· 支持标准SNMP网络管理协议,用户可以使用通用网管产品对其进行统一管理。
NIP1000灵活多样的部署方式
l 支持分布式体系结构,在分布式架构下产品分为控制中心与检测引擎。通过分布在用户各个子网中实时采集和分析数据的入侵检测引擎,以及能够对所有检测引擎进行集中管理和配置的控制中心,使整个系统能够对一个大规模用户网络进行入侵检测,从而满足复杂网络环境下用户的需求;
l 采用模块化的体系结构,除了支持分布式扩展之外,还提供了多种引擎组合方式,适应不同网络规模和应用环境。用户可根据自己的网络规模,对每个探测引擎所带探头数作出灵活调整,以最少的投入获得最完美的安全保障。
NIP1000完备的攻击特征库和事件自定义功能
具备完善的自定义攻击事件机制,提供 47l 种协议的特征字段的自定义,并可以自定义用户所关注的敏感信息以及指定的用户、邮件、IP地址等有关行为。提供灵活的入侵检测规则定制功能,用户可根据自身网络环境及需求从危险级别、规则种类等角度对已有规则进行选择,并确定这些规则的报警响应方式。同时用户还可针对自身需要,通过自定义检测规则来检测特殊攻击、或通过自定义关联规则来检测由多种相互关联的事件组成的复杂攻击事件;
l 华为拥有专业的网络安全攻防实验室,不断跟踪世界最新的网络攻防技术,随时就攻防技术的最新发展进行沟通和交流,同时我们与国内外多家信息安全厂商和研究机构建立了合作关系,确保能够根据网络安全技术的最新发展推出最新的入侵规则升级包,并使产品具备对最新攻击行为的检测能力。
NIP1000功能强大的事件管理及其流量统计功能
l 在控制台上为用户提供多角度的入侵警报浏览功能,以及强大的搜索引擎。用户可以从大量的警报事件中快速准确地查到所关注的攻击事件。 l 针对每一个攻击事件,用户可以看到其详细的信息,包括发生的时间、攻击的类型、源/目的地址、源/目的端口,单位时间内的发生次数等;还提供该攻击事件相关的详细解释、危险级别和解决方案等等。
l 通过多种角度对入侵事件进行分析审计,并产生详尽、多样化的报表功能。可提供100余种报表样式,包含了全面丰富的综合性内容,帮助用户随时对网络安全状况作出正确的评估。
可以按时间、事件、风险级别、响应方式、协议、IP等对网络流量、WEB流量、入侵流量进行统计分析,输出数十种规格的分析报表。l
NIP1000真正的虚拟引擎技术
l NIP提供真正的虚拟引擎技术,一个独立的设备可以部属多个检测引擎,每个检测引擎采用独立的内存和系统资源,可以针对所监控物理网络区域配置相应的检测策略,一方面提高了检测效率,一方面节省了用户的投资。
NIP1000完备的自身安全性
在为用户网络环境提供安全保障的同时,NIP 网络智能入侵检测系统具备了完善的自身安全性。系统中采用了多种安全防护措施,包括:
· 基于SSL协议的数据和管理通道
· 安全OS及安全物理介质认证
· 隐藏探头自身的IP地址
· 多级用户管理和访问控制
· 系统日志审计功能 |