入侵检测系统通用技术要求

入侵检测系统技术要求 千兆入侵检测系统 编号项目要求备注 1 机种千兆机架式硬件设备 2 监听口要求 数量多模光纤 FDDI 模块 2 3 语言支持要求支持全中文的操作界面以及中文详细的解决方 案报告 支持深度协议识别 能够监测基于 Smart Tunnel 方式伪造和包装的通讯 支持 70 种以上的协议异常检测 能够对违背 RFC 的异常通讯进行报警 内置智能攻击结果分析 在入侵检测的平台上 无需使用外部的工具 如扫描器 就能够准确 检测和验证攻击行为成功与否 产品的知识库全面 至少能对 1800 种以上的 攻击行为进行检测 规则库检测攻击的性能领 先 规则更新快 至少能够做到一周一次检测 模块的更新 升级过程不停止监测过程 事件 库与 CVE 兼容 支持所有部件包括引擎 控制台 规则库在内 的实时在线升级 Live 所有部件均支持离线 升级 所有部件均支持定时自动在线升级 引 擎支持串口 控制台两种升级方式 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控 并进行方便 直观的图形输出 4 入侵检测能力 能够对 http ftp smtp pop telnet 等常用协 议进行连接回放 支持对 P2P 协议的解码和流 量排序 包括 BitTorrent MSN 等 5 性能要求每秒并发 TCP 会话数 最大并发 TCP 会话数 最大处理能力 1 2Gb 产品的所有的告警和流量信息都可以实时的汇 总到监控中心 支持集中式的探测器管理 监 控和入侵检测分析 支持控制台与探测器的双向连接 控制台支持任意层次的级联部署 上级控制台 可以将最新的升级补丁 规则模板文件 探测 器配置文件等统一发送到下级控制台 保持整 个系统的完整统一性 6 管理能力 能够提供多种响应方式 包括控制台告警 EMAIL 记录 切断连接 以及执行用户自定 义行为 支持主流防火墙联动 支持日志缓存 在探测引擎的网络完全断开的 情况下 探测引擎仍然会将检测到的攻击行为 在探测器本地保存 等到网络恢复正常自动的 同步到控制台或日志数据库 不会出现网络断 开而丢失告警信息的情况 具备对反 IDS 攻击技术的防护能力 如 stick 类攻击 Man in Middle 等 7 日志与报告能力 报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表 形式包括日报表 月报表 年报表等 通过来源分析 目标分析 类别分 析等多种分析方式 以直观 清晰的方式从总 体上分析网络上发生的各种事件 为管理人员 提供方便 对发现的攻击行为应该记录到典型数据库中例 如 SQL Server 等 并提供基于时间 事件 风险级别等组合的分析功能 并且可以产生各 种图片 文字的报告形式 无需安装任何第三 方软件支持输出到通用的 HTML JPG WORD Excle 等格式文件 8 必须满足的国家 相关标准及规范 通过以下国家权威部门的认证 包括 公安部 的销售许可证 国家信息安全测评认证中心 认证 涉密信息系统产品检测证书 以及 军用信息安全产品认证 百兆入侵检测系统 编号项目要求备注 1 机种百兆机架式硬件设备 2 监听口 数量10 100Base TX 总数 2 3 语言支持要求支持全中文的操作界面以及中文详细的解决方 案报告 支持深度协议识别 能够监测基于 Smart Tunnel 方式伪造和包装的通讯 支持 70 种以上的协议异常检测 能够对违背 RFC 的异常通讯进行报警 内置智能攻击结果分析 在入侵检测的平台上 无需使用外部的工具 如扫描器 就能够准确 检测和验证攻击行为成功与否 4 入侵检测能力 产品的知识库全面 至少能对 1800 种以上的 攻击行为进行检测 规则库检测攻击的性能领 先 规则更新快 至少能够做到一周一次检测 模块的更新 升级过程不停止监测过程 事件 库与 CVE 兼容 支持所有部件包括引擎 控制台 规则库在内 的实时在线升级 Live 所有部件均支持离线 升级 所有部件均支持定时自动在线升级 引 擎支持串口 控制台两种升级方式 在同一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控 并进行方便 直观的图形输出 能够对 http ftp smtp pop telnet 等常用协 议进行连接回放 支持对 P2P 协议的解码和流 量排序 包括 BitTorrent MSN 等 5 性能要求每秒并发 TCP 会话数 最大并发 TCP 会话数 最大包捕获和处理能力 200Mb 产品的所有的告警和流量信息都可以实时的汇 总到监控中心 支持集中式的探测器管理 监 控和入侵检测分析 支持控制台与探测器的双向连接 控制台支持任意层次的级联部署 上级控制台 可以将最新的升级补丁 规则模板文件 探测 器配置文件等统一发送到下级控制台 保持整 个系统的完整统一性 6 管理能力 能够提供多种响应方式 包括控制台告警 EMAIL 记录 切断连接 以及执行用户自定 义行为 支持主流防火墙联动 支持日志缓存 在探测引擎的网络完全断开的 情况下 探测引擎仍然会将检测到的攻击行为 在探测器本地保存 等到网络恢复正常自动的 同步到控制台或日志数据库 不会出现网络断 开而丢失告警信息的情况 具备对反 IDS 攻击技术的防护能力 如 stick 类攻击 Man in Middle 等 报表系统可以自动生成各种形式的攻击统计和 流量统计报表报表 形式包括日报表 月报表 年报表等 通过来源分析 目标分析 类别分 析等多种分析方式 以直观 清晰的方式从总 体上分析网络上发生的各种事件 为管理人员 提供方便 7 日志与报告能力 对发现的攻击行为应该记录到典型数据库中例 如 SQL Server 等 并提供基于时间 事件 风险级别等组合的分析功能 并且可以产生各 种图片 文字的报告形式 无需安装任何第三 方软件支持输出到通用的 HTML JPG WORD Excle 等格式文件