全方位的入侵检测技术
NPIDS综合采用标准协议解码、重组还原、内容匹配、行为识别、资产关联等入侵识别与检测技术,大大提高了检测的准确性,降低了误报率和漏报率。
NPIDS内置了遵循RFC 规范的协议解码器,当发现任何违背RFC协议的异常行为时,就会认为网络中可能存在溢出、拒绝服务等攻击行为。
NPIDS采用碎片重组还原技术,通过将多个I分片包组合还原为一个数据包之后,在进行匹配检测,从而可以防范基于分片的攻击行为,降低系统的漏报率 。
NPIDS采用深入的内容匹配技术,将数据包载荷中的数据与预先定义的攻击指纹进行对比,以判定数据传输中是否含有恶意攻击行为,从而可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。
NPIDS采用基于状态机的行为识别技术,通过监控会话状态、事件间关联,在有效地防止IDS 规避攻击的同时,还可以减少攻击的误报和漏报。
NPIDS采用资产关联技术,用 户还可以根据实际网络环境适当调整相关参数,更加准确地检测到行为异常攻击,降低误报率。
NPIDS内置了62类、近5000条检测规则,62类,涵盖web、数据库、后门、邮件、不良信息、流媒体、病毒、拒绝服务、扫描探测等各方面。
多角度的性能优化技术
NPIDS采用直接缓冲访问、多核并行计算、匹配优化、操作合并等性能优化技术,从而最大限度的提高系统性能。
NPIDS采用直接缓冲访问技术,网卡驱动与上层分析引擎共用数据缓冲,减少了数据的拷贝操作,从而减少了CPU资源的占用,提高了整体性能。
NPIDS采用多核并行技术,通过在软中断、线程级别将系统负载平分到每一CPU核上,辅以分流技术,避免了因锁机制、进程切换的开销,从而提高了系统对CPU资源的合理利用。
NPIDS采用匹配优化,通过基于状态的的流定位,优化哈希表查询,迅速定位每个报文所属 会话,无缝集成协议解码器与模式匹配引擎,从而最大限度地提高性能。
NPIDS采用操作合并技术,通过报警事件合并、多报警日志一次记入数据库,从而减少了不必要的操作,从而提高系统的整体性能。
有效的稳定性保障技术
NPIDS采用模块化的架构,数据获取、协议解码、模式匹配、数据存储、响应单元、管理引擎等各模块相对独立,降低了系统的复杂度,减少了出错的可能。
NPIDS各数据处理单元间采用多级缓冲设计,确保高负载情况上数据不致丢失。
NPIDS对系统关键进程进行监控,如发现异常,可自动恢复。
NPIDS对CPU、网卡等硬件进行监控,如发现异常,立即进行重置。
灵活的部署方式
NPIDS采用控制台/引擎架构,引擎上内置数据库和WEB服务器,控制台为浏览器,支持IE、FIREFOX、OPERA、SAFAI等主流浏览器。
NPIDS支持基于HUB 的共享环境、基于交换机镜像功能的交换环境,还支持基于专用的流量分流设备TAP 的部署方案。
完善的报表系统
NPIDS支持常规、详细、审计、安全建议和解决方案等报表形式,从而给用户提供多角度的分析数据。
NPIDS内置了月报表、日报表等多种报表模板,以满足用户的实际应用需要。
NPIDS提供手动和定时报表生成,方便用户管理。
NPIDS为用户提供自定义报表内容的功能,并可以将其存为模板,方便以后使用。
NPIDS支持PDF、HTML等多种报表格式。
丰富的响应方式
NPIDS支持实时的会话中断,包括TCP RESET、ICMP回应
NPIDS支持在线的实时报警监控
NPIDS支持管理员邮件通知
NPIDS支持报警日志本地记录
NPIDS支持用户自定义响应方式
NPIDS支持与防火墙、漏洞扫描器、安全管理平台进行联动
可靠的自身安全性
NPIDS运行于安全操作系统并经过严格配置。网络引擎具备管理微内核,采用双网卡(获取数据网卡无IP)工作方式,通讯支持认证和加密,确保系统的安全。
