天清入侵防御系統(tǒng)介紹

1、產(chǎn)品白皮書天清入侵防御系系統(tǒng)（V6.0）（Intrussion PPrevenntion Systeem）版本標(biāo)識(shí)：V66.0.1.0單 位：北京啟明星星辰信息技術(shù)術(shù)有限公司版 權(quán) 聲 明明北京啟明星辰信信息技術(shù)有限限公司版權(quán)所所有，并保留留對本文檔及及本聲明的最最終解釋權(quán)和和修改權(quán)。本文檔中出現(xiàn)的的任何文字?jǐn)⑹觥⑽臋n格格式、插圖、照照片、方法、過過程等內(nèi)容，除除另有特別注注明外,其著著作權(quán)或其他他相關(guān)權(quán)利均均屬于北京啟啟明星辰信息息技術(shù)有限公公司。未經(jīng)北北京啟明星辰辰信息技術(shù)有有限公司書面面同意，任何何人不得以任任何方式或形形式對本手冊冊內(nèi)的任何部部分進(jìn)行復(fù)制制、摘錄、備備份、修改、傳傳播

2、、翻譯成成其它語言、將將其全部或部部分用于商業(yè)業(yè)用途。“天清”為啟明明星辰信息技技術(shù)有限公司司的注冊商標(biāo)標(biāo)，不得侵犯犯。免責(zé)條款本文檔依據(jù)現(xiàn)有有信息制作，其其內(nèi)容如有更更改，恕不另另行通知。北京啟明星辰信信息技術(shù)有限限公司在編寫寫該文檔的時(shí)時(shí)候已盡最大大努力保證其其內(nèi)容準(zhǔn)確可可靠，但北京京啟明星辰信信息技術(shù)有限限公司不對本本文檔中的遺遺漏、不準(zhǔn)確確、或錯(cuò)誤導(dǎo)導(dǎo)致的損失和和損害承擔(dān)責(zé)責(zé)任。信息反饋如有任何寶貴意意見，請反饋饋：信箱：北京市海海淀區(qū)東北旺旺西路8號中中關(guān)村軟件園園21號樓啟啟明星辰大廈廈 郵編：1000994電話：010-827799088傳真：010-827799000您可以訪問

3、啟明明星辰網(wǎng)站：獲得最新技技術(shù)和產(chǎn)品信信息。目 錄TOC o 1-3 h z u概述關(guān)于天清天清入侵防御系系統(tǒng)（Intruusion Preveentionn Systtem）是啟啟明星辰信息息技術(shù)有限公公司自行研制制開發(fā)的入侵侵防御類網(wǎng)絡(luò)安全產(chǎn)產(chǎn)品。天清入侵防御系系統(tǒng)圍繞深層層防御、精確確阻斷這個(gè)核核心，通過對對網(wǎng)絡(luò)中深層層攻擊行為進(jìn)進(jìn)行準(zhǔn)確的分分析判斷，在在判定為攻擊擊行為后立即即予以阻斷，主主動(dòng)而有效的的保護(hù)網(wǎng)絡(luò)的安全全。啟明星辰堅(jiān)信，不不了解黑客技技術(shù)的最新發(fā)發(fā)展，就談不不上對黑客入入侵的有效防防范。為了了了解黑客活動(dòng)動(dòng)的前沿狀況況，把握黑客客技術(shù)的動(dòng)態(tài)態(tài)發(fā)展，深化化對黑客行為為的本質(zhì)

4、分析析，預(yù)防黑客客的突然襲擊擊并以最快速速度判斷黑客客的最新攻擊擊手段，啟明明星辰專門建建立了積極防防御實(shí)驗(yàn)室(V-AD-LAB)，通通過持續(xù)不斷斷地研究、實(shí)實(shí)踐和積累，逐逐漸建立起一一系列數(shù)據(jù)、信信息和知識(shí)庫庫作為公司產(chǎn)產(chǎn)品、解決方方案和專業(yè)服服務(wù)的技術(shù)支支撐，如攻擊擊特征庫、系系統(tǒng)漏洞庫、系系統(tǒng)補(bǔ)丁庫和和IP定位數(shù)數(shù)據(jù)庫等。啟明星辰在入侵侵檢測技術(shù)領(lǐng)領(lǐng)域的成就受受到了國家權(quán)權(quán)威部門的肯肯定和認(rèn)可，成成為國家計(jì)算算機(jī)網(wǎng)絡(luò)應(yīng)急急技術(shù)處理協(xié)協(xié)調(diào)中心(CNCERRT)和CNNCVE的承承建單位. 啟明星辰對國內(nèi)內(nèi)外最新的網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全全漏洞與應(yīng)用用軟件漏洞一一直進(jìn)行著最最及時(shí)和最緊緊密的跟蹤，對對

5、重大安全問問題成立專項(xiàng)項(xiàng)研究小組進(jìn)進(jìn)行技術(shù)攻關(guān)關(guān)，并將發(fā)現(xiàn)現(xiàn)的漏洞及時(shí)時(shí)呈報(bào)給國際際CVE（CoommonVulneerabillitiessandExpossures）組織。目前已有多個(gè)漏洞的命名被國際CVE組織采用，獲得了該組織機(jī)構(gòu)唯一的標(biāo)識(shí)號。天清入侵防御系系統(tǒng)強(qiáng)大的功功能、簡單的的操作、友好好的用戶界面面、全面的技技術(shù)支持解除除了您的后顧顧之憂，是您您值得信賴的的網(wǎng)絡(luò)安全產(chǎn)產(chǎn)品。入侵防御首先我們來探討討一個(gè)問題：入侵攻擊行為包括括哪些？什么么樣的行為可可以稱為入侵侵攻擊行為？我們來看對入入侵行為的標(biāo)標(biāo)準(zhǔn)定義：入入侵是指在非非授權(quán)的情況況下，試圖存存取信息、處處理信息或破破壞系統(tǒng)以使使系

6、統(tǒng)不可靠靠，不可用的的故意行為。通常提到對入侵侵行為的防御御，大家都會(huì)會(huì)想到防火墻墻。防火墻作作為企業(yè)級安安全保障體系系的第一道防防線，已經(jīng)得得到了非常廣廣泛的應(yīng)用，但但是各式各樣樣的攻擊行為為還是被不斷斷的發(fā)現(xiàn)和報(bào)報(bào)道，這就意意味著有一類類攻擊行為是是防火墻所不不能防御的，比比如說應(yīng)用層層的攻擊行為為。想要實(shí)現(xiàn)完全的的入侵防御，首首先需要對各各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其其次是需要實(shí)實(shí)時(shí)的阻斷防防御與響應(yīng)。防防火墻等訪問問控制設(shè)備沒沒有能做到完完全的協(xié)議分分析，僅能實(shí)實(shí)現(xiàn)較為低層層的入侵防御御，對應(yīng)用層層攻擊等行為無無法進(jìn)行判斷斷，而入侵檢檢測等旁路設(shè)設(shè)備由于部署署方式的局限，在發(fā)現(xiàn)攻擊擊后無法及時(shí)

7、時(shí)切斷可疑連連接，都達(dá)不不到完全防御御的要求。想要實(shí)現(xiàn)完全的的入侵防御，就就需要將完全協(xié)協(xié)議分析和在線防防御相融合，這這就是入侵防防御系統(tǒng)（IIPS）：oonlinee式在線部署署，深層分析析網(wǎng)絡(luò)實(shí)時(shí)數(shù)數(shù)據(jù)，精確判判斷隱含其中中的攻擊行為為，實(shí)施及時(shí)時(shí)的阻斷。入侵防御系統(tǒng)和和入侵檢測系系統(tǒng)入侵檢測系統(tǒng)、入侵防御系統(tǒng)是兩兩款互相獨(dú)立立，但又有著著內(nèi)在聯(lián)系的的安全產(chǎn)品：入侵檢測系統(tǒng)以以旁路方式部部署，監(jiān)視交交換機(jī)上的所所有實(shí)時(shí)傳輸輸數(shù)據(jù)，專注注的是全面檢檢測、有效呈呈現(xiàn)，這意味味著入侵檢測測系統(tǒng)是作為為安全監(jiān)督管管理工具存在在，提供給用用戶全面的信信息展現(xiàn)，為為改善用戶網(wǎng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)控控制環(huán)境提供供

8、決策依據(jù)。入侵防御系統(tǒng)以以在線方式部部署，實(shí)時(shí)分分析鏈路上的的傳輸數(shù)據(jù)，對對隱藏在其中中的攻擊行為為進(jìn)行阻斷，專專注的是深層層防御、精確確阻斷，這意意味著入侵防防御系統(tǒng)是作作為安全防御御工具存在，解解決用戶面臨臨的實(shí)際應(yīng)用用上的難題，進(jìn)進(jìn)一步優(yōu)化用用戶網(wǎng)絡(luò)的風(fēng)風(fēng)險(xiǎn)控制環(huán)境境。關(guān)注點(diǎn)的不同、部部署目標(biāo)的不不同決定了兩兩款產(chǎn)品在客客戶價(jià)值上的的差異和發(fā)展方向上上的不同。對于那些重點(diǎn)關(guān)關(guān)注風(fēng)險(xiǎn)控制制，由于風(fēng)險(xiǎn)險(xiǎn)管理要求不不高，對檢測測和監(jiān)控?zé)o具具體要求的行行業(yè)，使用入入侵防御系統(tǒng)統(tǒng)就可以很好好的滿足其安安全需求。對于那些IT設(shè)設(shè)施是其業(yè)務(wù)務(wù)運(yùn)營基礎(chǔ)的的行業(yè)，ITT設(shè)施的風(fēng)險(xiǎn)險(xiǎn)將極大影響響其經(jīng)營風(fēng)險(xiǎn)險(xiǎn)

9、，他們既關(guān)關(guān)注風(fēng)險(xiǎn)管理理又關(guān)注風(fēng)險(xiǎn)控控制，希望通過風(fēng)險(xiǎn)險(xiǎn)管理不斷完完善風(fēng)險(xiǎn)控制制措施，這種種類型的用戶戶需要的是入入侵檢測和入入侵防御相結(jié)結(jié)合的解決方方案。對于只關(guān)注風(fēng)險(xiǎn)險(xiǎn)管理的檢測測與監(jiān)控，監(jiān)監(jiān)督風(fēng)險(xiǎn)控制制的改進(jìn)狀況況的監(jiān)督管理理機(jī)構(gòu)和部門門，防御具體體的攻擊行為為不是其工作作的重點(diǎn)，他他們需要的是是能夠全面呈呈現(xiàn)風(fēng)險(xiǎn)信息息的入侵檢測測系統(tǒng)。深層防御與精確確阻斷深層防御有數(shù)據(jù)顯示，770%以上的的攻擊行為發(fā)發(fā)生在傳輸層層和應(yīng)用層之之間，我們稱這類類4-7層上上的攻擊為深深層攻擊行為為。深層攻擊擊行為有如下下特點(diǎn)：第一：新攻擊種種類出現(xiàn)頻率率高，新攻擊擊手段出現(xiàn)速速度快。據(jù)美國CERTT/CC

10、的統(tǒng)統(tǒng)計(jì)數(shù)據(jù)，22006年共共收到信息系系統(tǒng)漏洞報(bào)告告8064個(gè)個(gè)，比20005年增長了了34.6%，漏洞數(shù)量量的迅速增長長標(biāo)志著新攻攻擊類型的迅迅速增長，而而在同一份報(bào)報(bào)告中，采用用分布式蜜罐罐技術(shù)捕獲的的新攻擊樣本本數(shù)量平均每每天有近1000個(gè)，最多多的一天幾近近700，這這意味著平均均每天發(fā)現(xiàn)1100種新的的攻擊手段，最最多的一天發(fā)發(fā)現(xiàn)的新攻擊擊手段可多達(dá)達(dá)700種，這這是一個(gè)非常常驚人的數(shù)據(jù)據(jù)。第二：攻擊過程程隱蔽。文件捆綁：打開開一份文檔，結(jié)結(jié)果執(zhí)行了一一個(gè)與文檔捆捆綁的木馬程程序；文件偽偽裝：可愛的的熊貓圖片，竟竟然是蠕蟲病病毒；跨站腳腳本攻擊：僅僅僅是訪問了了一個(gè)網(wǎng)站的的頁面，就

11、被被安上了間諜諜軟件。攻擊擊行為正以越越來越可以亂亂真的面貌出出現(xiàn)。除了深層攻擊行行為這些自身身的特點(diǎn)外，越越來越多的業(yè)業(yè)務(wù)應(yīng)用，也也增加了判斷斷攻擊行為的的難度：到底底是正常的應(yīng)應(yīng)用還是是違違規(guī)的應(yīng)用呢呢？如何更好的實(shí)現(xiàn)現(xiàn)對這些深層層攻擊的防御御，是入侵防防御系統(tǒng)需要要解決的問題題。深層需要高效和和準(zhǔn)確，防御御則意味著及及時(shí)的阻斷，深深層防御需要要兼顧兩者。精確阻斷啟明星辰認(rèn)為：深層防御之之道，精確阻阻斷為先。精確阻斷是深層層防御的先決決條件：沒有有實(shí)現(xiàn)對攻擊擊行為的準(zhǔn)確確判斷，誤阻阻斷了正常業(yè)業(yè)務(wù)或者是沒沒有阻斷那些些隱藏的、變變形的攻擊行行為，都將給給客戶帶來巨巨大的損失。而而深層防御也

12、也對精確阻斷斷提出了更高高的要求：不不能對新的攻攻擊行為實(shí)現(xiàn)現(xiàn)精確的阻斷斷，深層防御御就無從談起起。深層防御、精確確阻斷，是天天清入侵防御御系統(tǒng)客戶價(jià)價(jià)值的核心。產(chǎn)品技術(shù)特點(diǎn)串行防御和免疫疫防護(hù)天清入侵防御系系統(tǒng)支持串行接入模式式，串接在網(wǎng)網(wǎng)絡(luò)當(dāng)中，以以邊界防護(hù)設(shè)設(shè)備的形式接接入網(wǎng)絡(luò)，任任何對受保護(hù)護(hù)網(wǎng)絡(luò)的訪問問數(shù)據(jù)都將穿穿過防御引擎擎。其標(biāo)準(zhǔn)的的接入方式如如下圖所示：圖2：串接模式式的部署和傳統(tǒng)入侵檢測測設(shè)備不同的的串接模式，加加強(qiáng)了實(shí)時(shí)防防御功能。和和傳統(tǒng)的邊界界防護(hù)設(shè)備防防火墻相比，兩兩者的區(qū)別如如下圖所示：圖3：防火墻和和IPS的不不同阻斷在發(fā)現(xiàn)攻擊行為為之后，天清清入侵防御系系統(tǒng)可以

13、主動(dòng)動(dòng)的阻斷這些些攻擊行為，對對內(nèi)部網(wǎng)絡(luò)的的系統(tǒng)實(shí)現(xiàn)免免疫防護(hù)。即即使內(nèi)部系統(tǒng)統(tǒng)存在相應(yīng)的的風(fēng)險(xiǎn)漏洞也也可以由入侵侵防御引擎來來將實(shí)現(xiàn)先于于攻擊達(dá)成的的防護(hù)。高效的數(shù)據(jù)處理理性能天清入侵防御系系統(tǒng)有一個(gè)顯顯著的特點(diǎn)就就是可以支持持串行接入模模式。正如很很多邊界防護(hù)護(hù)設(shè)備一樣，串串行的接入模模式需要面對對的一個(gè)主要要問題是如何何使設(shè)備不成成為網(wǎng)絡(luò)傳輸輸?shù)钠款i。天天清入侵防御御系統(tǒng)在原有有的高性能報(bào)報(bào)文處理架構(gòu)構(gòu)之上，還采采用了如下技技術(shù)來確保傳傳輸性能：POLL技術(shù)：在通常的系系統(tǒng)中，數(shù)據(jù)據(jù)處理都是采采用中斷響應(yīng)應(yīng)機(jī)制來進(jìn)行行的。采用中中斷在數(shù)據(jù)包包較少的情況況下，是一個(gè)個(gè)比較好的解解決方案，但

14、但在數(shù)據(jù)量較較大的情況下下，尤其是在在千兆級環(huán)境境下，處理大大量中斷所消消耗的系統(tǒng)資資源是相當(dāng)可可觀的，我們們在這里采用用了輪詢方式式的polll技術(shù)，CPPU一直保持持工作狀態(tài)，而而并且等待喚喚醒狀態(tài)，以以節(jié)約在大數(shù)數(shù)據(jù)量情況下下的CPU開開銷。在對數(shù)數(shù)據(jù)包的轉(zhuǎn)發(fā)發(fā)中采用pooll技術(shù)，可可以確保較低低的傳輸時(shí)延延。驅(qū)動(dòng)的內(nèi)部無鎖鎖技術(shù)：常見見的數(shù)據(jù)結(jié)構(gòu)構(gòu)有這么三種種：堆棧、隊(duì)隊(duì)列和樹。在在不同的情況況下，采用不不同的數(shù)據(jù)結(jié)結(jié)構(gòu)，我們對對捕獲后的數(shù)數(shù)據(jù)的存儲(chǔ)方方式采用的是是環(huán)狀隊(duì)列，也也就是說，無無需等待中斷斷，隨時(shí)都可可以從存儲(chǔ)空空間中實(shí)時(shí)獲獲得可進(jìn)行分分析的數(shù)據(jù)，自適應(yīng)的CPUU負(fù)載均衡

15、技技術(shù)：我們將將每一個(gè)實(shí)際際的CPU都都虛擬成了多多個(gè)虛擬的CCPU，分別別用于處理不不同的事務(wù)：分別處理中中斷、檢測和和通訊等。以上這三項(xiàng)技術(shù)術(shù)的協(xié)同應(yīng)用用，使得天清清入侵防御系系統(tǒng)在數(shù)據(jù)包包的處理性能能方面有著出出眾的表現(xiàn)。其微秒級的分析時(shí)延，完全可以適應(yīng)電信級用戶網(wǎng)絡(luò)環(huán)境需求。權(quán)威性的檢測特特征庫啟明星辰認(rèn)為，基基于誤用的檢檢測方法其核核心就是檢測測特征（siignatuure）的提提取，構(gòu)造一一個(gè)好的入侵侵防御系統(tǒng)，依依賴于能否準(zhǔn)準(zhǔn)確地提取和和描述檢測特特征。特別是是在串行環(huán)境境下，明晰而而精確的檢測測特征將會(huì)是是決定保護(hù)措措施優(yōu)劣的重重要砝碼。天清入侵防御系系統(tǒng)在提煉檢檢測特征的時(shí)時(shí)

16、候采用了如如下兩種方式式：方式A：基于漏漏洞機(jī)理的分分析方法。利用漏洞機(jī)理的的方法來提取取和定義特征征，可以實(shí)現(xiàn)現(xiàn)檢測和具體體攻擊工具的的無關(guān)性，特特別對于防止止新型變種的的攻擊和攻擊擊工具改造非非常有效。方式B：基于攻攻擊過程的分分析方法。攻擊過程分析法法則是完全站站在攻擊者的的角度，破析析完整的攻擊擊過程，可以以判斷攻擊是是處在攻擊嘗嘗試階段還是是已經(jīng)攻擊成成功。另外，天清入侵侵防御系統(tǒng)中中對檢測特征征的定義都是是通過統(tǒng)一的的標(biāo)準(zhǔn)化VTT+語言來來描述，VTT+語言的的使用，不但但保證了特征征的快速更新新，還向用戶戶提供了便于于自行定義檢檢測特征的接接口，從而擴(kuò)擴(kuò)充了檢測內(nèi)內(nèi)容和范圍。天清

17、入侵防御系系統(tǒng)的檢測防御規(guī)規(guī)則庫全面兼兼容CVE和和CNCVEE，對用戶而而言，提供了了更詳細(xì)了解解網(wǎng)絡(luò)中發(fā)生生行為的機(jī)會(huì)會(huì)。準(zhǔn)確的攻擊檢測測能力入侵檢測系統(tǒng)對對客戶帶來的的價(jià)值體現(xiàn)在在對攻擊和可可疑行為的及及時(shí)發(fā)現(xiàn)和主主動(dòng)響應(yīng)上，而而實(shí)現(xiàn)及時(shí)的的發(fā)現(xiàn)，就要要求入侵檢測測系統(tǒng)擁有全全面的攻擊檢檢測能力。天清入侵防御系系統(tǒng)在對數(shù)據(jù)據(jù)鏈路層到應(yīng)應(yīng)用層的網(wǎng)絡(luò)絡(luò)數(shù)據(jù)全面分分析的基礎(chǔ)之之上，融合漏漏洞分析信息息，可以對上上報(bào)的攻擊事事件進(jìn)行事先先的預(yù)分析，達(dá)達(dá)到精確報(bào)警警的目的。此外，天清入侵侵防御系統(tǒng)采采用了啟明星星辰公司設(shè)計(jì)計(jì)并實(shí)現(xiàn)的高高效協(xié)議自識(shí)識(shí)別方法VFPR (Venuss Fastt Pro

18、ttocol Recoggnitioon)，該協(xié)協(xié)議自識(shí)別方方法基于協(xié)議議指紋識(shí)別和和協(xié)議規(guī)則驗(yàn)驗(yàn)證技術(shù)實(shí)現(xiàn)現(xiàn)，能夠在網(wǎng)網(wǎng)絡(luò)協(xié)議通信信初期根據(jù)前前期網(wǎng)絡(luò)報(bào)文特征征自動(dòng)識(shí)別所所屬協(xié)議類型型，并采用預(yù)預(yù)先建立的協(xié)協(xié)議驗(yàn)證規(guī)則則進(jìn)一步驗(yàn)證證協(xié)議識(shí)別結(jié)結(jié)果正確性。VFPR方法包括前期協(xié)議樣本特征提取和在線協(xié)議識(shí)別兩個(gè)階段，其中，協(xié)議樣本特征提取階段包括協(xié)議類型樣本的協(xié)議指紋提取和相應(yīng)協(xié)議驗(yàn)證規(guī)則建立過程，協(xié)議識(shí)別階段包括協(xié)議指紋快速匹配和協(xié)議識(shí)別結(jié)果快速驗(yàn)證等過程方法。VFPR方法的協(xié)議指紋識(shí)別過程基于快速哈希表方法實(shí)現(xiàn)，而協(xié)議驗(yàn)證規(guī)則執(zhí)行過程基于高效的專用網(wǎng)絡(luò)報(bào)文處理虛擬機(jī)實(shí)現(xiàn)。通過使用VFPR方法

19、，對于一些采用非常規(guī)端口的協(xié)議也能實(shí)現(xiàn)及時(shí)的識(shí)別和檢測。簡易便捷的管理理部署對于使用網(wǎng)絡(luò)安安全產(chǎn)品的用用戶而言，簡簡單管理的第第一步就是簡簡單的部署方方式，天清入入侵防御系統(tǒng)統(tǒng)遵循了“零更改”的部署原則則?；谶@個(gè)個(gè)原則，天清清入侵防御系系統(tǒng)可以很容容易的接入到到用戶網(wǎng)絡(luò)當(dāng)當(dāng)中，并且不不會(huì)對網(wǎng)絡(luò)拓?fù)鋼洹?yīng)用服務(wù)務(wù)、運(yùn)營性能能造成任何影影響。用戶無無需設(shè)置交換換機(jī)鏡像，而而只需將入侵侵防御引擎透透明接入到網(wǎng)網(wǎng)絡(luò)中，便可可即時(shí)開始對對網(wǎng)絡(luò)的防護(hù)護(hù)。天清入侵防御系系統(tǒng)除了支持持標(biāo)準(zhǔn)的單層層部署模式外外，還支持多多級分布式的的部署方式。特特別的，對于于大規(guī)模部署署的用戶來說說，可以按照照自身網(wǎng)絡(luò)的的行

20、政業(yè)務(wù)結(jié)結(jié)構(gòu)，來部署署與之緊密結(jié)結(jié)合的集中監(jiān)監(jiān)管、統(tǒng)一控控制的分級控控制體系。通通過集中下發(fā)發(fā)防御策略，使使得上級部門門可以實(shí)現(xiàn)全全網(wǎng)統(tǒng)一的安安全防御策略略，通過統(tǒng)一一上報(bào)的信息息上傳機(jī)制，使使得上級部門門可以及時(shí)了了解各下屬單單位及全網(wǎng)的的安全狀況，以以便及時(shí)修改改和更新防御御策略。另外外，天清入侵侵防御系統(tǒng)還還支持了多監(jiān)監(jiān)控臺(tái)設(shè)置，多多個(gè)用戶可以以僅安裝信息息顯示中心系系統(tǒng)，并連接接到天清入侵侵防御系統(tǒng)的的控制中心，來來實(shí)時(shí)接收所所有上報(bào)的報(bào)報(bào)警信息。此此種方式特別別的適合于有有分權(quán)管理需需求的用戶。 靈活的安全策略略管理天清入侵防御系系統(tǒng)采用基于于策略的防護(hù)護(hù)方式，內(nèi)置置了多種默認(rèn)認(rèn)安全

21、策略集集，用戶可以以根據(jù)需要選選擇最適合自自己需要的策策略，以達(dá)到到最佳防護(hù)效效果。除了默認(rèn)的安全全策略集外，天清入侵防御系統(tǒng)還提供了向?qū)降牟呗怨芾矸绞剑诓呗约g還可實(shí)現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策略。對于初次使用天天清入侵防御御系統(tǒng)的客戶戶，天清還提供了了動(dòng)態(tài)策略調(diào)調(diào)整的方式，可可以根據(jù)預(yù)設(shè)設(shè)事件發(fā)生的的頻率來自動(dòng)動(dòng)調(diào)整使用的的安全策略，從從而實(shí)現(xiàn)減少少日志量和自自動(dòng)修改事件件風(fēng)險(xiǎn)級別。豐富的響應(yīng)分析析方式天清入侵防御系系統(tǒng)在發(fā)現(xiàn)網(wǎng)網(wǎng)絡(luò)中的各種種攻擊和違規(guī)規(guī)行為后，除除了主動(dòng)式的的阻斷外，還還可以通過多種種響應(yīng)方式及及時(shí)通知系統(tǒng)統(tǒng)管理員得知知，這些方式式包括：屏

22、幕顯示報(bào)警后臺(tái)日志記錄SNMP Trrap信息發(fā)送電子郵件聲音報(bào)警和執(zhí)行行自定義程序序除了實(shí)時(shí)的響應(yīng)應(yīng)方式外，天天清入侵防御御系統(tǒng)對儲(chǔ)存存在后臺(tái)數(shù)據(jù)據(jù)庫中的日志志信息還提供供了多種的分分析手段。用用戶可以從系系統(tǒng)提供的1100余種默默認(rèn)報(bào)表模版版中進(jìn)行選擇擇，既可以對對事件詳細(xì)追追蹤處理，也也可以發(fā)現(xiàn)主主要安全事件件的焦點(diǎn)所在在。天清入侵防御系系統(tǒng)還提供了了多樣化的日日志過濾查詢詢條件，用戶戶可以進(jìn)行自自主定義習(xí)慣慣的查詢模式式，進(jìn)行有效效的日志分析析查詢，報(bào)表表的題頭、內(nèi)內(nèi)容、字段可可供用戶自主主調(diào)整。通過對于缺省模模版的選擇和和自定義過濾濾查詢條件，用用戶可以進(jìn)行行自主制定多多樣化的分析析

23、報(bào)告模版并并進(jìn)行保存使使用。對于生成的報(bào)表表，用戶還可可以手動(dòng)、自自動(dòng)導(dǎo)出為多多種常用格式（如：WWORDEEXCEL），并設(shè)置郵件定時(shí)發(fā)送報(bào)告功能。完善的系統(tǒng)可靠靠保障和傳統(tǒng)的入侵檢檢測系統(tǒng)不同同，串行接入入的天清入侵侵防御系統(tǒng)對對系統(tǒng)可靠性性的要求要高高出許多，在在一些特殊情情況下，確保保網(wǎng)絡(luò)業(yè)務(wù)是是第一要義。這這些特殊情況況包括：特殊情況一：掉掉電及硬件故故障。掉電對網(wǎng)絡(luò)設(shè)備備的危害是不不言而喻的。特特別的，當(dāng)串串接在網(wǎng)絡(luò)中中的入侵防御御系統(tǒng)掉電了了，對業(yè)務(wù)層層面的影響將將會(huì)是巨大的的。同樣，入入侵防御系統(tǒng)統(tǒng)出現(xiàn)硬件故故障，也將對對業(yè)務(wù)運(yùn)營造造成影響。特殊情況二：系系統(tǒng)軟件故障障。天清入侵防御系系統(tǒng)內(nèi)置WaatchDoog功能，對對入侵防御引引擎的系統(tǒng)狀狀態(tài)實(shí)現(xiàn)實(shí)時(shí)時(shí)的監(jiān)控。一一旦發(fā)現(xiàn)防御御引擎出現(xiàn)軟軟件故障，即即刻啟動(dòng)BYYPASS功功能。圖4：BYPAASS的示意意圖部署結(jié)構(gòu)常規(guī)部署模式典型部署位置如如下圖所示：圖5：常規(guī)部署署模式A類型的部署：邊界防護(hù)，放放置在防火墻墻的外面。所所有想要進(jìn)入入網(wǎng)絡(luò)內(nèi)部的的數(shù)據(jù)都將通通過檢測引擎擎，可以將所所有的惡意行行為阻攔在整整個(gè)網(wǎng)絡(luò)之外外。B類型的部署：內(nèi)部防護(hù)，放放在防火墻設(shè)設(shè)備的后面，對對經(jīng)過防火墻墻過濾后的數(shù)數(shù)據(jù)進(jìn)行分析析，作為第二二道大門存在在。邊界防