RT-1005工控入侵检测系统

健信入侵检测系统是面向企业内部网络进行威胁检测、分析的产品,可应用于工业控制网络环境,实时检测包括溢出攻击、RPC攻击、WebCGI攻击、拒绝服务攻击、木马、蠕虫、漏洞利用等网络攻击行为。产品能监视网络上的所有数据信息,根据指定的保护目标及检测策略对网络中的可疑流量或攻击行为进行实时报警。

主要功能:入侵检测 支持基于 IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别;支持模式匹配、异常检测、统计分析,以及抗 IDS逃逸等多种检测技术;支持 IDS报文取证。 协议解析 可依据应用行为自动识别协议类型,如 HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多种协议,并可进行防护解析。 病毒检测 采用先进的、不断更新的病毒库,支持手动和在线自动升级方式,支持代理模式和流模式两种病毒扫描方式。 DNS监测 支持统计监测的采样率、DNS监测、自定义统计监测的域名、自定义统计监测的域名、显示自定义统计监测域名信息、DNS 监控和DDoS-DNS统计图表。 抗DDOS攻击 具备抵抗多种DDOS攻击能力,可抵抗应用型攻击:包括Web cc、http get flood、DNS query flood等攻击;抵抗流量型攻击:包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、Stream Flood等攻击;抵抗蠕虫连接型攻击:可基于ACL或者源或目地IP地址进行连接数统计和控制,支持连接排行榜,可早期预警。

主要特点:基于语义的SQL注入检测 传统的基于特征的SQL注入检测,漏报和误报率高,比如在USER字段提交Select,将会被认作攻击行为。做编码转换或函数转换或者是关键字跨域之后,攻击者很容易躲避机械地匹配字符串方式的检测。 入侵检测系统会首先构造一个可以执行各种SQL语句的虚拟执行环境,可以通过对输入的内容进语义分析,无论攻击者为构造也多么复杂,特殊的攻击内容,只要用户输入的内容中含有攻击的内容,就可以发现攻击。灵活的安全策略管理 入侵检测系统采用基于策略的防护方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防护效果。 用户即可以根据防护的类型不同而选择不同的事件集,即可以提高系统的性能,也可以减少误报的发生机率。

更精细的应用层安全控制 基于应用的识别技术,是各种应用层安全检测的基础,目前各类新的应用层出不穷,如QQ、MSN、文件共享、Web服务、P2P下载等,这些应用势必会带来新的、更复杂的安全风险。这些风险和应用本身密不可分,如果不结合应用来分析将无法抵御这些风险。

入侵检测系统采用流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。