天阗入侵检测与管理系统白皮书(2)

天阗提供多种不同分类方式的系统策略集，可以针对不同环境、不同应用以及关注目标选取最合适的检测策略。

天阗提供向导方式、已有策略集之间逻辑操作和在系统策略集上衍生等多种方式，方便用户自定义最佳使用的检测策略集，并支持策略集的导入和导出。

天阗提供了灵活的策略编辑方式，确保用户在最短的时间内调整自己所需要的策略。

天阗提供了动态策略调整模式，可以根据预设的事件发生频率来动态调整策略中应用的响应方式、合并条件以及过滤条件，从而减少报警日志量或者自动对高级事件调高相应级别。

天阗支持虚拟引擎的划分，可以为不同网络对象制定适应性的检测策略，实现有效的入侵检测。

5．可扩展的响应和联动

天阗具有丰富的可扩展事件响应方式， 包括

◆屏幕显示
◆日志记录
◆TCP KILLER阻断
◆支持邮件方式远程报警、声音以及自定义程序报警
◆支持向网管发送SNMP TRAP 信息

天阗通过自有VIP 协议族，可以充分实现和第三方安全产品以及网络设备的策略响应联动。

◆防火墙联动:通过对天阗的联动通讯标准的支持，防火墙业界主流的20家以上的产品可以实现和天阗的联动，对外部发起的攻击行为进行阻断。
◆交换机联动：天阗可以和港湾公司的智能安全系列交换机联动，根据策略制定动态关闭相应的交换机端口，可以防止蠕虫类事件的攻击扩散，进行内网安全防护。

6．多样化日志分析报告

天阗分别为管理人员和入侵检测分析员提供了不同类型的日志分析手段和报告输出。

天阗为管理人员提供了常用的周期性统计模版，提供多类型TOP10的排名，管理人员可以直接利用，得出管理性的安全结论。

天阗为入侵检测分析员提供了多种缺省分析模版，根据这些模版可以获得多种分类的事件日志信息和交叉统计排名，既可以对事件详细追踪处理，也可以发现主要安全事件的焦点所在。

天阗提供了多样化的日志过滤查询条件，用户可以进行自主定义习惯的查询模式，进行有效的日志分析查询，报表的题头、内容、字段可供用户自主调整。

通过对于缺省模版的选择和自定义过滤查询条件，用户可以进行自主制定多样化的分析报告模版并进行保存使用。

天阗的报表可以手动、自动导出为多种常用格式（如：WORD\EXCEL），并设置邮件定时发送报告功能。

7．人性化界面功能操作

天阗在界面设计和功能充分考虑的整体美观性布局和用户操作习惯方便性，主要表现在：

采用图形化拓扑结构显示产品组件之间的管理控制关系；

采用可定制的分窗口和事件树，分类显示报警信息；

提供向导操作模式，供用户按照规范的步骤进行准确操作；

提供可定位的联机手册和具有详细的攻击、漏洞解释的安全信息手册，帮助用户参阅功能使用和事件查询。

8．线速级的高性能处理

攻击特征流采用统一的100种标准的不同攻击样本，目标机器配置多种网络服务。网络背景流量采用专用发包设备来制造，以０背景流量为基准，测试入侵检测系统在不同的流量环境（包长）和不同连接背景下的检测能力。

百兆引擎的性能指标如下：

图1

图2

图3

千兆引擎的性能指标如下：

图4

图5

图6