入侵检测系统通用技术要求

1、入侵检测系统技术要求千兆入侵检测系统编号项目要求备注1.机种千兆机架式硬件设备；*2.监听口要求/数量多模光纤(FDDI)模块23.语言支持要求支持全中文的操作界面以及中文 详细的解决方 案报告。*4.入侵检测能力支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯；支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警；内置智能攻 击结果分析，在入侵检测的平台上， 无需使用外部的工具(如 扫描器)就能够准确检 测和验证攻击行为成功与否；*产品的知识库全面，至少能对1800种以上的攻 击行为进行检测，规则库检测 攻击的性能领先、 规则更新快，至少能够做到一周一次

2、 检测模块 的更新；升级过程不停止 监测过程；事件库与CVE兼容；*支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live),所有部件均支持离 线升级， 所有部件均支持定 时自动在线升级，引擎支持 串口，控制台两种升级方式；在冋一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控，并进行方便 直观的图形输出；能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放；支持对P2P协议的解码和流量排序，包括(BitTorrent、MSN 等)；5.性能要求每秒并发TCP会话数 200000最大并发TCP会话数500000最大处理能力 1.2Gb6.管理能

3、力产品的所有的告警和流量信息都可以 实时的汇 总到监控中心，支持集中式的探测器管理、监 控和入侵 检测分析；支持控制台与探测器的双向连接；控制台支持任意 层次的级联部署，上级控制台 可以将最新的升 级补丁、规则模板文件、探测 器配置文件等 统一发送到下级控制台，保持整 个系统的完整统一性；能够提供多种响应方式，包括控制台告警、EMAIL、记录、切断连接、以及执 行用户自定 义行为。支持主流防火墙联动。7.日志与报告能力支持日志缓存，在探测引擎的网络完全断开的 情况下，探测引擎仍然会将 检测到的攻击行为 在探测器本地保存，等到网 络恢复正常自动的 冋步到控制台或日志数据 库。不会出现 网络断 开

4、而丢失告警信息的情况；具备对反IDS攻击技术的防护能力，如stick类攻击、Man-in-Middle 等*报表系统可以自动生成各种形式的攻 击统计和 流量统计报表报表，形式包括日报表，月报表， 年报表等，通过来源分析，目标分析，类别分析 等多种分析方式，以直观、清晰的方式从总体上 分析网络上发生的各种事件，为管理人员提供 方便；对发现的攻击行为应该记录到典型数据 库中例如SQL Server等，并提供基于时间、事件、风险 级别等组合的分析功能，并且可以 产生各种图 片、文子的报告形式。无需安装任何第一方软件支持 输出到通用的 HTML、JPG、WORD、Excle 等格式文件；8.必须满足的

5、国家相关标准及规范通过以下国家权威部门的认证：包括公安部的 销售许可证国家信息安全测评认证中心认证 、涉密信息系统产品检测证书以及军 用信息 安全产品认证;*百兆入侵检测系统编号项目要求备注1机种百兆机架式硬件设备；*2监听口 /数量10/100Base-TX,总数23语言支持要求支持全中文的操作界面以及中文 详细的解决方案报告*4入侵检测能力支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯；支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警；内置智能攻 击结果分析，在入侵检测的平台上， 无需使用外部的工具（如 扫描器）就能够准确检 测和验证攻击行为成功

6、与否；*产品的知识库全面，至少能对1800种以上的攻 击行为进行检测，规则库检测 攻击的性能领先、 规则更新快，至少能够做到一周一次 检测模块 的更新；升级过程不停止 监测过程；事件库与CVE兼容；*支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live),所有部件均支持离 线升级， 所有部件均支持定 时自动在线升级，引擎支持 串口，控制台两种升级方式；在冋一入侵检测平台上即可对所监控流量按照 不同的协议类型进行排序和监控，并进行方便 直观的图形输出能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放；支持对P2P协议的解码和流量排序，包括(BitTorren

7、t、MSN 等)5性能要求每秒并发TCP会话数 100000最大并发TCP会话数200000最大包捕获和处理能力200Mb6、管理能力产品的所有的告警和流量信息都可以 实时的汇总到监控中心，支持集中式的探测器管理、监控和入侵检测分析；支持控制台与探测器的双向连接；控制台支持任意 层次的级联部署，上级控制台 可以将最新的升 级补丁、规则模板文件、探测 器 配置文件等 统一发送到下级控制台，保持整个 系统的完整统一性；能够提供多种响应方式，包括控制台告警、EMAIL、记录、切断连接、以及执 行用户自定义 行为。支持主流防火墙联动。7日志与报告能力支持日志缓存，在探测引擎的网络完全断开的 情况下，探

8、测引擎仍然会将 检测到的攻击行为 在探测器本地保存，等到网 络恢复正常自动的 冋步到控制台或日志数据 库。不会出现 网络断 开而丢失告警信息的情况；具备对反IDS攻击技术的防护能力，如stick类攻击、Man-in-Middle 等*报表系统可以自动生成各种形式的攻 击统计和 流量统计报表报表，形式包括日报表，月报表， 年报表等，通过来源分析，目标分析，类别分析 等多种分析方式，以直观、清晰的方式从总体上 分析网络上发生的各种事件，为管理人员提供 方便；对发现的攻击行为应该记录到典型数据 库中例如SQL Server等，并提供基于时间、事件、风险 级别等组合的分析功能，并且可以 产生各种图 片、文子的报告形式。无需安装任何第一方软件支持 输出到通用的 HTML、JPG、WORD、Excle 等格式