一、關于天闐

天闐入侵檢測與管理系統是啟明星辰信息技術有限公司自行研制開發的入侵檢測類網絡安全產品。

天闐入侵檢測與管理系統是在以新一代入侵檢測技術為核心的基礎上，引入全面流量監測發現異常，結合地理信息顯示入侵事件的定位狀況，應用入侵和漏洞之間具有對應的關聯關系，給出入侵威脅和資產脆弱性之間的關聯風險分析結果，從而有效地管理安全事件并進行及時處理和響應。

啟明星辰堅信，不了解黑客技術的最新發展，就談不上對黑客入侵的有效防范。為了了解黑客活動的前沿狀況，把握黑客技術的動態發展，深化對黑客行為的本質分析，預防黑客的突然襲擊并以最快速度判斷黑客的最新攻擊手段，啟明星辰專門建立了積極防御實驗室(V-AD-LAB)，通過持續不斷地研究、實踐和積累，逐漸建立起一系列數據、信息和知識庫作為公司產品、解決方案和專業服務的技術支撐，如攻擊特征庫、系統漏洞庫、系統補丁庫和IP定位數據庫等。

啟明星辰在入侵檢測技術領域的成就受到了國家權威部門的肯定和認可，成為國家計算機網絡應急技術處理協調中心(CNCERT)和CNCVE的承建單位.

啟明星辰對國內外最新的網絡系統安全漏洞與應用軟件漏洞一直進行著最及時和最緊密的跟蹤，對重大安全問題成立專項研究小組進行技術攻關，并將發現的漏洞及時呈報給國際CVE（Common Vulnerabilities and Exposures）組織。目前已有多個漏洞的命名被國際CVE組織采用，獲得了該組織機構唯一的標識號。 同時，啟明星辰公司的天闐入侵檢測與管理系統和天鏡脆弱性掃描與管理系統都通過了CVE嚴格的標準評審，獲得最高級別的CVE兼容性認證（CVE Compatible），從而成為國內IDnVA市場中唯一兩項都獲得CVE認證的廠商，這標志著啟明星辰公司無論在入侵檢測，還是在漏洞掃描的技術實力方面均已與國際接軌，并且其研發成果已得到了國際權威組織的充分認可。

天闐系統強大的功能、簡單的操作、友好的用戶界面、全面的技術支持解除了您的后顧之憂，是您值得信賴的網絡安全產品。

天闐入侵檢測與管理系統和傳統的入侵檢測產品相比，具有如下幾個顯著的優點：

◆將不同的安全產品在統一的管理控制中心采用拓撲化方式進行集中管理和配置，完成安全策略的制定和分發，綜合顯示多樣化的檢測信息，引導入侵管理向平臺化方向發展；
◆引入的集中監管、分級部署的多級管理體系全面符合中國國情的行政業務的管理模式，真正實現分布式產品的結構統一協調管理，建立安全信息的全局預警機制；
◆利用基于攻擊特征或漏洞機理的分析，提取出網絡流量中不同類型的惡意流量大小和比例，建立全局的異常流量監測體系，和網絡入侵檢測緊密配合，從宏觀和微觀兩個層面來了解網絡安全狀況和威脅態勢。
◆利用IP定位和圖形化的表現方式，使得條目式網絡入侵事件以形象的可視化方式顯現出來，提高對入侵事件的定位能力和響應速度。
◆深入挖掘不同安全產品的內在相關性，采用協同關聯技術，加強安全產品之間的優勢互補，提高安全產品協同作戰能力；
◆采用規范化的通訊結構，可以實現管理體系的全面升級和擴容，并支持SOC更高層次的安全管理。

二、功能特性

1．高強度的自身安全性

IDS作為用以監測網絡的信息安全產品，其自身的安全的重要毋庸置疑，如何確保安全性，是安全廠商們需要重點關注的問題。

籍此，中國信息安全產品測評認證中心開展了EAL1-7級別的信息安全技術認證，EAL認證是參照國標GB/T18336也就是國際標準CC(ISO/IEC 15408)進行的一種分安全等級測評。這種測評是按照安全目標，配置管理，交付與運行、開發、文檔、生命周期支持、測試和脆弱性分析、不同層次的設計審核等等幾個方面對安全產品進行測評。其級別劃分為EAL1到EAL7七個級別。ISO/IEC 15408準則的TOE評估定義了七個安全認證級別類別，不同的安全級別有不同功能要求和保障要求。其中EAL3為系統的測試和檢查級（methodically tested and checked），目前，國內網絡級的安全設備能認證的最高級別就是EAL3級認證。

天闐入侵檢測與管理系統作為國內首批通過EAL3認證的入侵檢測產品，能夠滿足具有適當安全需求的政府、特定商業用戶及軍用的需求，比EAL2通過結構測試滿足一般商用的級別實現了階段性的增長。

無超級用戶權限
在天闐入侵檢測與管理系統中，不存在一個擁有全部權限的超級用戶，避免了因為某一用戶/口令的泄漏而導致系統被人控制。

多身份鑒別強認證
在某些環境中，除了使用用戶名/口令的認證方式外，天闐入侵檢測與管理系統還提供了硬件認證方式，用戶可以使用IC卡、加密狗等硬件存儲設備來實現強認證

帶外管理部署方式
控制中心與所探測網段可以實現隔離部署，保證控制中心的自身安全管理；

加密的通訊方式
控制中心與探測引擎通信加密，探測器和控制中心互相認證，防止欺騙，防止日志、策略在傳輸過程中被篡改；

網絡接口隱身技術
探測引擎檢測網口無IP地址，入侵者無法對消失在網絡中的目標進行掃描和攻擊，這樣在網絡中實現自身隱藏及帶外管理；管理網口不開放額外連接端口，提高自身的隱藏性；

優化的系統內核
探測引擎操作系統內核重新編譯，并經過了特別的優化，不采用通用的TCP/IP堆棧，避免通用TCP/IP堆棧的缺陷導致的安全漏洞。

動態口令管理
使用SSL或超級終端登錄探測器時，需要使用動態口令，以避免權限的泄露。

Watchdog監視
探測引擎具有Watchdog功能，確保系統的長期穩定運行。

2．完善的管理控制體系

多層分級管理
天闐可靈活設置成與行政業務管理流程緊密結合的集中監控、多層管理的分級體系。通過策略下發機制，使上級部門能夠統一全網的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監控全網的安全狀態。

靈活的更新和版本升級
天闐支持手動和自動的特征更新和軟件版本升級，也可以在分級管理體系下由主控統一來完成。天闐的探測引擎同時支持通過USB口進行升級。

獨立的升級管理中心，對控制臺軟件、探測器軟件的升級都僅需一次點擊，極大的簡化了網絡管理員的工作。

全局預警
在天闐的多層分級管理體系下，可以實現把單點發生的的重要事件自動預警到其它管理區域，使得各級管理員對于可能發生的重要安全事件具有提前的預警提示。

利用全局預警通道，各級管理員也可以發送交互信息，交流對安全事件的處理經驗。

嚴格的權限管理
天闐可以設定多種分類權限供不同的人員使用，支持更為嚴格的多鑒別身份認證方式。同時在產品部署上支持事件監測、事件分析以及管理配置分布部署，從物理角度保證管理安全。

時鐘同步機制
天闐支持NTP服務進行時間同步，保證跨時區的部署條件下也能保持管理時間的一致性。

支持多報警顯示臺
天闐提供了良好的多點監測機制，允許掛接多個報警顯示中心，方便多個管理人員進行有效的報警觀測。

數據庫維護管理
天闐支持多種數據庫：MSSQL、ORACLE等，提供強大的數據庫維護管理功能，支持快速入庫，可以對歷史數據進行自動、手動的備份、刪除操作，還可以導入歷史的備份數據。

可擴展到入侵管理
天闐可以實現多種安全產品：網絡入侵檢測、流量監測、漏洞掃描、主機入侵檢測的統一管理和協同關聯。

3．全面的入侵檢測能力

多種技術結合防止漏報

◆天闐采用引擎高速捕包技術保證滿負荷的報文捕獲；
◆天闐采用的高速樹型匹配技術實現了一次匹配多個規則的模式，檢測效率得以成倍的量級提高；
◆天闐采用了IP碎片重組、TCP流重組以及特殊應用編碼解析等多種方式，應對躲避IDS檢測的手法，如：WHISKER、FRAGROUTE等攻擊方式；
◆天闐擁有了業界最為全面和更新速度最快特征庫，能夠對通用的攻擊方法和最新的流行攻擊手段進行報警；
◆采用預制漏洞機理分析方法定義特征，對未知攻擊方式和變種攻擊也能及時報警；
◆采用行為關聯分析技術，可以發現基于組合行為的復雜攻擊；

多種措施降低誤報

◆基于狀態的協議分析和協議規則樹，保證特征匹配的準確性；
◆基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態，提供不同級別的事件報警信息；
◆通過采集和關聯攻擊發送方和被攻擊目標的信息，可以成功或失敗的攻擊事件給出明確標識。
◆通過支持入侵管理，可以結合漏洞掃描結果來評估威脅的風險級別。

多種機制限制濫報

◆天闐內置了狀態檢測機制，可以識別和處理類似“STICK”等的反IDS攻擊，有效地避免了事件風暴的產生；
◆天闐提供了多種可選的統計合并技術，可以對同一事件采用合并上報，減少報警量。

自定義入侵檢測規則

天闐提供了規范化的VT++語言和向導定義模式，幫助用戶自定義檢測模式，擴充檢測范圍。

全面兼容CVE和CNCVE標準

天闐通過了CVE嚴格的兼容性標準評審，并獲得最高級別的CVE兼容性認證（CVE Compatible），在入侵檢測系統知識庫上得到國際權威組織的認可。同時，天闐也具有標準的CNCVE 的對照。