一、關(guān)于天闐

天闐入侵檢測與管理系統(tǒng)是啟明星辰信息技術(shù)有限公司自行研制開發(fā)的入侵檢測類網(wǎng)絡(luò)安全產(chǎn)品。

天闐入侵檢測與管理系統(tǒng)是在以新一代入侵檢測技術(shù)為核心的基礎(chǔ)上，引入全面流量監(jiān)測發(fā)現(xiàn)異常，結(jié)合地理信息顯示入侵事件的定位狀況，應(yīng)用入侵和漏洞之間具有對應(yīng)的關(guān)聯(lián)關(guān)系，給出入侵威脅和資產(chǎn)脆弱性之間的關(guān)聯(lián)風(fēng)險分析結(jié)果，從而有效地管理安全事件并進(jìn)行及時處理和響應(yīng)。

啟明星辰堅信，不了解黑客技術(shù)的最新發(fā)展，就談不上對黑客入侵的有效防范。為了了解黑客活動的前沿狀況，把握黑客技術(shù)的動態(tài)發(fā)展，深化對黑客行為的本質(zhì)分析，預(yù)防黑客的突然襲擊并以最快速度判斷黑客的最新攻擊手段，啟明星辰專門建立了積極防御實驗室(V-AD-LAB)，通過持續(xù)不斷地研究、實踐和積累，逐漸建立起一系列數(shù)據(jù)、信息和知識庫作為公司產(chǎn)品、解決方案和專業(yè)服務(wù)的技術(shù)支撐，如攻擊特征庫、系統(tǒng)漏洞庫、系統(tǒng)補(bǔ)丁庫和IP定位數(shù)據(jù)庫等。

啟明星辰在入侵檢測技術(shù)領(lǐng)域的成就受到了國家權(quán)威部門的肯定和認(rèn)可，成為國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)和CNCVE的承建單位.

啟明星辰對國內(nèi)外最新的網(wǎng)絡(luò)系統(tǒng)安全漏洞與應(yīng)用軟件漏洞一直進(jìn)行著最及時和最緊密的跟蹤，對重大安全問題成立專項研究小組進(jìn)行技術(shù)攻關(guān)，并將發(fā)現(xiàn)的漏洞及時呈報給國際CVE（Common Vulnerabilities and Exposures）組織。目前已有多個漏洞的命名被國際CVE組織采用，獲得了該組織機(jī)構(gòu)唯一的標(biāo)識號。 同時，啟明星辰公司的天闐入侵檢測與管理系統(tǒng)和天鏡脆弱性掃描與管理系統(tǒng)都通過了CVE嚴(yán)格的標(biāo)準(zhǔn)評審，獲得最高級別的CVE兼容性認(rèn)證（CVE Compatible），從而成為國內(nèi)IDnVA市場中唯一兩項都獲得CVE認(rèn)證的廠商，這標(biāo)志著啟明星辰公司無論在入侵檢測，還是在漏洞掃描的技術(shù)實力方面均已與國際接軌，并且其研發(fā)成果已得到了國際權(quán)威組織的充分認(rèn)可。

天闐系統(tǒng)強(qiáng)大的功能、簡單的操作、友好的用戶界面、全面的技術(shù)支持解除了您的后顧之憂，是您值得信賴的網(wǎng)絡(luò)安全產(chǎn)品。

天闐入侵檢測與管理系統(tǒng)和傳統(tǒng)的入侵檢測產(chǎn)品相比，具有如下幾個顯著的優(yōu)點(diǎn)：

◆將不同的安全產(chǎn)品在統(tǒng)一的管理控制中心采用拓?fù)浠绞竭M(jìn)行集中管理和配置，完成安全策略的制定和分發(fā)，綜合顯示多樣化的檢測信息，引導(dǎo)入侵管理向平臺化方向發(fā)展；
◆引入的集中監(jiān)管、分級部署的多級管理體系全面符合中國國情的行政業(yè)務(wù)的管理模式，真正實現(xiàn)分布式產(chǎn)品的結(jié)構(gòu)統(tǒng)一協(xié)調(diào)管理，建立安全信息的全局預(yù)警機(jī)制；
◆利用基于攻擊特征或漏洞機(jī)理的分析，提取出網(wǎng)絡(luò)流量中不同類型的惡意流量大小和比例，建立全局的異常流量監(jiān)測體系，和網(wǎng)絡(luò)入侵檢測緊密配合，從宏觀和微觀兩個層面來了解網(wǎng)絡(luò)安全狀況和威脅態(tài)勢。
◆利用IP定位和圖形化的表現(xiàn)方式，使得條目式網(wǎng)絡(luò)入侵事件以形象的可視化方式顯現(xiàn)出來，提高對入侵事件的定位能力和響應(yīng)速度。
◆深入挖掘不同安全產(chǎn)品的內(nèi)在相關(guān)性，采用協(xié)同關(guān)聯(lián)技術(shù)，加強(qiáng)安全產(chǎn)品之間的優(yōu)勢互補(bǔ)，提高安全產(chǎn)品協(xié)同作戰(zhàn)能力；
◆采用規(guī)范化的通訊結(jié)構(gòu)，可以實現(xiàn)管理體系的全面升級和擴(kuò)容，并支持SOC更高層次的安全管理。

二、功能特性

1．高強(qiáng)度的自身安全性

IDS作為用以監(jiān)測網(wǎng)絡(luò)的信息安全產(chǎn)品，其自身的安全的重要毋庸置疑，如何確保安全性，是安全廠商們需要重點(diǎn)關(guān)注的問題。

籍此，中國信息安全產(chǎn)品測評認(rèn)證中心開展了EAL1-7級別的信息安全技術(shù)認(rèn)證，EAL認(rèn)證是參照國標(biāo)GB/T18336也就是國際標(biāo)準(zhǔn)CC(ISO/IEC 15408)進(jìn)行的一種分安全等級測評。這種測評是按照安全目標(biāo)，配置管理，交付與運(yùn)行、開發(fā)、文檔、生命周期支持、測試和脆弱性分析、不同層次的設(shè)計審核等等幾個方面對安全產(chǎn)品進(jìn)行測評。其級別劃分為EAL1到EAL7七個級別。ISO/IEC 15408準(zhǔn)則的TOE評估定義了七個安全認(rèn)證級別類別，不同的安全級別有不同功能要求和保障要求。其中EAL3為系統(tǒng)的測試和檢查級（methodically tested and checked），目前，國內(nèi)網(wǎng)絡(luò)級的安全設(shè)備能認(rèn)證的最高級別就是EAL3級認(rèn)證。

天闐入侵檢測與管理系統(tǒng)作為國內(nèi)首批通過EAL3認(rèn)證的入侵檢測產(chǎn)品，能夠滿足具有適當(dāng)安全需求的政府、特定商業(yè)用戶及軍用的需求，比EAL2通過結(jié)構(gòu)測試滿足一般商用的級別實現(xiàn)了階段性的增長。

無超級用戶權(quán)限
在天闐入侵檢測與管理系統(tǒng)中，不存在一個擁有全部權(quán)限的超級用戶，避免了因為某一用戶/口令的泄漏而導(dǎo)致系統(tǒng)被人控制。

多身份鑒別強(qiáng)認(rèn)證
在某些環(huán)境中，除了使用用戶名/口令的認(rèn)證方式外，天闐入侵檢測與管理系統(tǒng)還提供了硬件認(rèn)證方式，用戶可以使用IC卡、加密狗等硬件存儲設(shè)備來實現(xiàn)強(qiáng)認(rèn)證

帶外管理部署方式
控制中心與所探測網(wǎng)段可以實現(xiàn)隔離部署，保證控制中心的自身安全管理；

加密的通訊方式
控制中心與探測引擎通信加密，探測器和控制中心互相認(rèn)證，防止欺騙，防止日志、策略在傳輸過程中被篡改；

網(wǎng)絡(luò)接口隱身技術(shù)
探測引擎檢測網(wǎng)口無IP地址，入侵者無法對消失在網(wǎng)絡(luò)中的目標(biāo)進(jìn)行掃描和攻擊，這樣在網(wǎng)絡(luò)中實現(xiàn)自身隱藏及帶外管理；管理網(wǎng)口不開放額外連接端口，提高自身的隱藏性；

優(yōu)化的系統(tǒng)內(nèi)核
探測引擎操作系統(tǒng)內(nèi)核重新編譯，并經(jīng)過了特別的優(yōu)化，不采用通用的TCP/IP堆棧，避免通用TCP/IP堆棧的缺陷導(dǎo)致的安全漏洞。

動態(tài)口令管理
使用SSL或超級終端登錄探測器時，需要使用動態(tài)口令，以避免權(quán)限的泄露。

Watchdog監(jiān)視
探測引擎具有Watchdog功能，確保系統(tǒng)的長期穩(wěn)定運(yùn)行。

2．完善的管理控制體系

多層分級管理
天闐可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密結(jié)合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機(jī)制，使上級部門能夠統(tǒng)一全網(wǎng)的安全防護(hù)策略；通過信息上傳機(jī)制，使上級部門能夠及時了解和監(jiān)控全網(wǎng)的安全狀態(tài)。

靈活的更新和版本升級
天闐支持手動和自動的特征更新和軟件版本升級，也可以在分級管理體系下由主控統(tǒng)一來完成。天闐的探測引擎同時支持通過USB口進(jìn)行升級。

獨(dú)立的升級管理中心，對控制臺軟件、探測器軟件的升級都僅需一次點(diǎn)擊，極大的簡化了網(wǎng)絡(luò)管理員的工作。

全局預(yù)警
在天闐的多層分級管理體系下，可以實現(xiàn)把單點(diǎn)發(fā)生的的重要事件自動預(yù)警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件具有提前的預(yù)警提示。

利用全局預(yù)警通道，各級管理員也可以發(fā)送交互信息，交流對安全事件的處理經(jīng)驗。

嚴(yán)格的權(quán)限管理
天闐可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴(yán)格的多鑒別身份認(rèn)證方式。同時在產(chǎn)品部署上支持事件監(jiān)測、事件分析以及管理配置分布部署，從物理角度保證管理安全。

時鐘同步機(jī)制
天闐支持NTP服務(wù)進(jìn)行時間同步，保證跨時區(qū)的部署條件下也能保持管理時間的一致性。

支持多報警顯示臺
天闐提供了良好的多點(diǎn)監(jiān)測機(jī)制，允許掛接多個報警顯示中心，方便多個管理人員進(jìn)行有效的報警觀測。

數(shù)據(jù)庫維護(hù)管理
天闐支持多種數(shù)據(jù)庫：MSSQL、ORACLE等，提供強(qiáng)大的數(shù)據(jù)庫維護(hù)管理功能，支持快速入庫，可以對歷史數(shù)據(jù)進(jìn)行自動、手動的備份、刪除操作，還可以導(dǎo)入歷史的備份數(shù)據(jù)。

可擴(kuò)展到入侵管理
天闐可以實現(xiàn)多種安全產(chǎn)品：網(wǎng)絡(luò)入侵檢測、流量監(jiān)測、漏洞掃描、主機(jī)入侵檢測的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。

3．全面的入侵檢測能力

多種技術(shù)結(jié)合防止漏報

◆天闐采用引擎高速捕包技術(shù)保證滿負(fù)荷的報文捕獲；
◆天闐采用的高速樹型匹配技術(shù)實現(xiàn)了一次匹配多個規(guī)則的模式，檢測效率得以成倍的量級提高；
◆天闐采用了IP碎片重組、TCP流重組以及特殊應(yīng)用編碼解析等多種方式，應(yīng)對躲避IDS檢測的手法，如：WHISKER、FRAGROUTE等攻擊方式；
◆天闐擁有了業(yè)界最為全面和更新速度最快特征庫，能夠?qū)νㄓ玫墓舴椒ê妥钚碌牧餍泄羰侄芜M(jìn)行報警；
◆采用預(yù)制漏洞機(jī)理分析方法定義特征，對未知攻擊方式和變種攻擊也能及時報警；
◆采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊；

多種措施降低誤報

◆基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準(zhǔn)確性；
◆基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供不同級別的事件報警信息；
◆通過采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標(biāo)的信息，可以成功或失敗的攻擊事件給出明確標(biāo)識。
◆通過支持入侵管理，可以結(jié)合漏洞掃描結(jié)果來評估威脅的風(fēng)險級別。

多種機(jī)制限制濫報

◆天闐內(nèi)置了狀態(tài)檢測機(jī)制，可以識別和處理類似“STICK”等的反IDS攻擊，有效地避免了事件風(fēng)暴的產(chǎn)生；
◆天闐提供了多種可選的統(tǒng)計合并技術(shù)，可以對同一事件采用合并上報，減少報警量。

自定義入侵檢測規(guī)則

天闐提供了規(guī)范化的VT++語言和向?qū)Фx模式，幫助用戶自定義檢測模式，擴(kuò)充檢測范圍。

全面兼容CVE和CNCVE標(biāo)準(zhǔn)

天闐通過了CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評審，并獲得最高級別的CVE兼容性認(rèn)證（CVE Compatible），在入侵檢測系統(tǒng)知識庫上得到國際權(quán)威組織的認(rèn)可。同時，天闐也具有標(biāo)準(zhǔn)的CNCVE 的對照。