绿盟NIPS 从主动防御到协同防护

网络入侵防御系统(NIPS)是企业安全方案中重要的一环,它为客户网络提供二层到七层的安全防护能力。经过10余年的产品演进,NIPS产品已经成熟并为广大用户所接受,成为组网方案中的标配网元。

攻击与防御自诞生以来就是此消彼长、相生相克,但是“魔高一尺道高一丈”,绿盟科技在对客户安全需求的理解基础上,凭借深厚的技术积累和研究,紧跟安全发展趋势,确保NIPS产品攻防能力持续演进,实现了从已知威胁检测到未知威胁发现,从单一设备检测到多种安全设备、云地一体化的立体协同防护,为用户提供“智能、精准、协同”的可运营防护能力。

智能

绿盟NIPS利用多种安全技术,在攻击的发生中,发生后对威胁智能识别和分析定位。

攻击发现

绿盟NIPS在传统签名检测技术的基础上,综合了漏洞机理分析技术、行为分析技术、统计分析等异常发现技术,并借助绿盟全球威胁情报系统(NTI),在确保业务连续性的同时对网关流量进行深入的分析,实现了对复杂攻击行为的发现。

入侵拦截

当攻击被发现后,NIPS可以对攻击源或者受害主机采取进一步动作,如基于源/目的隔离或者阻断、限速、添加例外以及自动确认,最大程度上降低管理员的操作介入,降低运维工作量。

攻击定位

当攻击发生之后,NIPS结合资产和云端实现攻击定位。通过与资产自学习结果关联,可以迅速定位到受害主机所在的部门、组织、资产所有者以及操作系统/应用等资产信息,便于评估危害等级;通过与绿盟NTI关联,可以对攻击源定位,包括攻击者IP信息、主机信息、地理信息、攻击历史等。

精准

通过签名技术和机器学习技术、行为分析技术等相结合,可以精准检识别流量中的威胁以及各种恶意代码的变种。

签名库

基于漏洞机理分析的高达7500+条攻击签名库,在数量上保持业界领先的同时,实际运行中实现零误报。5月上旬当WannaCry勒索病毒爆发之时,因NIPS已添加了针对被曝光的NSA的系列Windows漏洞规则,绿盟NIPS的客户即可得到防护,不受任何影响。

云端机器学习

通过云端大数据分析技术,分析WEB流量异常访问行为,打造基于行为分析模型的SQL注入算法,并推送到WAF、NIPS等设备,确保WEB服务可持续以及后台数据的机密性、完整性和可靠性。

应用识别

采用了业界领先的DFI/DPI技术,除了支持签名识别技术外,还可以通过流量行为来精准识别应用/协议,为攻击检测和基于应用的流量控制、上网行为管理等提供准确的依据。

恶意代码发现

在恶意代码发现能力上,不同于传统基于签名的技术,绿盟NIPS采用启发式         技术、静态模拟技术以及虚拟执行等技术,对隐藏在流量中的恶意代码识别,并能精确拦截。

协同

随着攻击复杂性的增强,防护手段已经远非一种安全设备的能力所能企及,多种安全设备、矩阵式协同就变的尤为重要,目前绿盟NIPS已经实现了本地与云端以及跨设备之间的协同防御,为客户业务系统编织了一张可靠的防护网。

威胁情报系统(NTI)

得益于与绿盟威胁情报系统(NTI)的联动,NTI可以实现分钟级别的威胁情报对NIPS设备的分发,同时,部署在客户网络的绿盟威胁分析系统(沙箱系统,TAC),对发现的高级威胁即时上传云端,由云端分发给互联的安全设备,真正实现“威胁一点发现,全局防御”。

APT检测系统

随着高级可持续性威胁(APT)的出现,攻击者的心态也不再以破坏和自我满足为目的,而是转向了对受害网络、主机设备的长期占有以及敏感信息的持续获取。传统的单一流式检测方法无法应对此类威胁,绿盟NIPS通过和本地APT检测系统(本地TAC设备或者云沙箱)协同,通过样本的行为分析和虚拟执行技术,可以发现隐藏在流量中的高级恶意代码,并动态调整NIPS的防护策略,实时拦截恶意流量。

大数据分析系统

安全日志、监控日志、上网行为日志、防病毒日志……,NIPS设备每天要产生一定数量的日志,如何从其中提取关键信息为指导管理员运维,成为摆在安全厂商面前的难题,绿盟NIPS通过与本地和云端的大数据系统对接,可以较好的解决这个问题。NIPS通过与本地的大数据分析系统(绿盟BSA)对接,BSA可以对设备上报的日志做收敛、提取和可视化的呈现,NIPS通过与云端的大数据分析系统对接,可以获取行业的威胁态势信息,并可对攻击源等信息做确认。

提升运营效率

移动APP近几年迅速崛起,随时随地方便快捷的优点,让很多在PC/服务器上完成的功能转移到手机上完成。绿盟科技从提升运维效率出发,综合云端和本地设备能力,推出了设备关怀服务,提供了移动端APP,用户随时随地查看重点资产的高威胁级别的告警/日志详情,以及多维度TOP分析,并可以监控到设备的运行状态。

多型号满足不同部署需求

绿盟NIPS从硬件设备形态到虚拟化软件形态,从SMB(百兆)到运营商(100G+)实现了客户场景的全覆盖。

100G+的硬件设备

为更好满足运营商、ISP、IDC等大容量场景的检测需求,绿盟推出了120G高端平台型号,整机支持分布式架构,业务板及电源模块支持热插拔,3+1冗余电源,7210G 或8100G接口能力,处于同行业领先地位。

100M到20G+的虚拟化型号

绿盟NIPS虚拟化版本提供了丰富的选型,包括V100A,V600A,V1000A,V10000A,V20000A,V30000A,性能梯度从100M~30G。全系列型号支持VMware和KVM平台,另外和云杉、华为、中兴、武汉绿网、思科等多家SDN控制器厂商成功对接,

虚拟化NIPS在中国移动、某省公安云以及众多高校得到成功部署。下面逻辑图描述绿盟云解决方案整体架构,IDS/IPS作为组件被上层检测防护类Sec APP调用,通过SDN控制器引流到防护对象。

持续创新

据公开数据显示,绿盟NIPS从2009起连续7年国内市场占有率第一(IDC报告),连续5年入围Gartner NIPS魔力象限,也是国内唯一一家通过NSS LABS测试的产品,安全市场复杂多变,系统漏洞和新型攻击技术层出不穷,绿盟科技将始终以满足客户安全需求为己任,继续领跑IPS市场。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

 

发表评论