入侵检测系统通用技术要求.doc

1、入侵检测系统技术要求千兆入侵检测系统编号项目要求备注1.机种千兆机架式硬件 设备；2.监听口要求 /数量多模光 纤 (FDDI) 模块 2；3.语言支持要求支持全中文的操作界面以及中文详细的解决方案报告。4.入侵 检测能力支持深度 协议识别 ，能够监测 基于 Smart Tunnel方式 伪造和包装的通 讯；支持 70 种以上的 协议 异常 检测，能够对违 背RFC 的异常通 讯进 行报警；内置智能攻 击结 果分析，在入侵 检测的平台上，无需使用外部的工具（如 扫描器）就能够准确检测和验证攻击行为成功与否；产品的知 识库全面，至少能 对 1800 种以上的攻击行为进行检测 ，规则库检测 攻击的

2、性能 领先、规则 更新快，至少能 够做到一周一次 检测 模块的更新；升级过程不停止 监测过 程；事件库与CVE 兼容；支持所有部件包括引擎、控制台、规则库在内的实时 在线升级(Live), 所有部件均支持离 线升级 ,所有部件均支持定 时自动在线升级，引擎支持串口，控制台两种升 级方式；在同一入侵 检测 平台上即可 对所监控流量按照不同的 协议类 型进行排序和 监控，并进行方便直观的图形输出；能够对 http,ftp,smtp,pop,telnet 等常用 协议进 行连接回放；支持对 P2P 协议的解码和流量排序，包括（BitTorrent 、 MSN 等）；5.性能要求每秒并 发 TCP 会

3、话数 200000；最大并 发 TCP 会话数 500000；最大处理能力 1.2Gb；6.管理能力产品的所有的告警和流量信息都可以实时的汇总到监控中心，支持集中式的探 测器管理、监控和入侵 检测分析；支持控制台与探 测器的双向 连接；控制台支持任意 层次的级联 部署，上级控制台可以将最新的升 级补丁、规则模板文件、探测器配置文件等 统一发送到下 级控制台，保持整个系统的完整 统一性；能够提供多种响 应方式，包括控制台告警、EMAIL 、记录、切断连接、以及执行用户自定义行为。支持主流防火墙联动。7.日志与 报告能力支持日志 缓存，在探测引擎的网 络完全断开的情况下，探测引擎仍然会将 检测到的

4、攻 击行为在探测器本地保存，等到网 络恢复正常自 动的同步到控制台或日志数据 库。不会出现 网络断开而丢失告警信息的情况；具备对 反 IDS攻击技术的防 护能力，如 stick类攻击、 Man-in-Middle 等报表系 统可以自 动生成各种形式的攻击统计 和流量统计报 表报表，形式包括日 报表，月报表，年报表等，通过来源分析，目 标分析，类别 分析等多种分析方式，以直观、清晰的方式从总体上分析网 络上发生的各种事件， 为管理人 员提供方便；8. 必须满足的国家相关 标准及 规范对发现 的攻 击行为应该记录 到典型数据 库中例如 SQL Server 等，并提供基于 时间、事件、风险级别 等

5、组合的分析功能，并且可以 产生各种 图片、文字的报告形式。无需安装任何第三方软 件支持 输出到通用的 HTML 、JPG、 WORD 、Excle等格式文件；通过以下国家 权威部门的认证：包括公安部的销售许可证、国家信息安全测评认证 中心认证、涉密信息系统产 品检测证书以及军 用信息安全 产品认证；百兆入侵检测系统编号项目要求1机种百兆机架式硬件 设备；2监听口 /数量10/100Base-TX ，总数 2；3语言支持要求支持全中文的操作界面以及中文详细的解决方案报告4入侵 检测能力支持深度 协议识别 ，能够监测 基于 Smart Tunnel方式 伪造和包装的通 讯；支持 70 种以上的 协

6、议 异常 检测，能够对违 背RFC 的异常通 讯进 行报警；内置智能攻 击结 果分析，在入侵 检测的平台上，无需使用外部的工具（如 扫描器）就能够准确检测和验证攻击行为成功与否；产品的知 识库全面，至少能 对 1800 种以上的攻击行为进行检测 ，规则库检测 攻击的性能 领先、规则 更新快，至少能 够做到一周一次 检测 模块的更新；升级过程不停止 监测过 程；事件库与备注CVE 兼容；支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live), 所有部件均支持离线升级 ,所有部件均支持定时自动在线升级，引擎支持串口，控制台两种升 级方式；在同一入侵 检测 平台上即可 对所监控流量按照不

7、同的 协议类 型进行排序和 监控，并进行方便直观的图形输出能够对 http,ftp,smtp,pop,telnet 等常用 协议进 行连接回放；支持对 P2P 协议的解码和流量排序，包括（BitTorrent 、 MSN 等）5性能要求每秒并 发 TCP 会话数 100000；最大并 发 TCP 会话数 200000；最大包捕 获和处理能力 200Mb；6、管理能力产品的所有的告警和流量信息都可以实时 的汇总到监控中心，支持集中式的探测器管理、监 控和入侵 检测分析；支持控制台与探测器的双向 连接；控制台支持任意层次的级联部署，上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等 统

8、一发送到下 级控制台，保持整个系统的完整 统一性；能够提供多种响 应方式，包括控制台告警、EMAIL、记录、切断连接、以及执行用 户自定 义行为。支持主流防火墙联动。7日志与 报告能力支持日志 缓存，在探测引擎的网 络完全断开的8 必须满足的国家相关 标准及 规范情况下，探测引擎仍然会将 检测到的攻 击行为在探 测器本地保存，等到网 络恢复正常自 动的同步到控制台或日志数据 库。不会出现 网络断开而 丢失告警信息的情况；具备对反 IDS攻击技术的防 护能力，如 stick类攻击、 Man-in-Middle等报表系统可以自 动生成各种形式的攻 击统计 和流量 统计报 表报表，形式包括日 报表，月报表，年报表等，通过来源分析，目 标分析，类别分析等多种分析方式，以直 观、清晰的方式从总 体上分析网 络上发生的各种事件， 为管理人 员提供方便；对发现 的攻 击行为应该记录 到典型数据 库中例如 SQL Server 等，并提供基于 时间、事件、风险级别 等组合的分析功能，并且可以 产生各种 图片、文字的报告形式。无需安装任何第三方软件支持 输出到通用的 HTM