中软DIDSystem 分布式入侵检测系统

　　入侵检测系统是实时网络自动违规识别和响应系统。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的 网络访问时，网络信息安全检测预警系统能够根据系统安全策略做出反应，包括实时报警，事件登录，自动阻断通信连接或执行用户自定义的安全策略等。

　　一、主要功能

　　1、强大的攻击检测预警能力

　　DIDSystem内置已知网络攻击特征/模式数据库，能够根据网络数据流和网络通讯会话轨迹，智能地与网络攻击模式进行匹配。对确认为攻击的行为，系统进行阻断会话、制止攻击、日志记录、系统告警或者进行反攻击等响应。目前DIDSystem Version 7.0能够识别的攻击特征/模式的数量为280个。

　　2、强大的违规操作检测预警能力

　　DIDSystem能够根据用户自定义的网络安全策略对网络活动进行检查，捕获网络安全违规活动。并对相应违规操作进行适当的响应。

　　3、实时通讯连接阻断和攻击制止能力

　　DIDSystem能够根据用户安全策略的定义对攻击行为和违规行为进行会话终止响应，制止攻击事件的延续，最大限度地保证网络系统的安全。

　　4、事件报警能力

　　DIDSystem能够根据所发生的网络安全事件，以不同的事件等级产生控制台报警。

　　5、 事件日志能力

　　DIDSystem能够自动响应网络安全事件，包括记录网络事件发生的日期和时间，事件的源与目的IP地址。

　　6、风险分析报告能力

　　DIDSystem能够对系统在一定时间段内的安全状况进行统计分析，给出网络系统总体的安全状况报告和趋势分析报告。

　　7、过滤器自定义与安全策略定义能力

　　DIDSystem不仅能提供缺省的网络探测器模板，而且它允许用户根据系统规则生成用户模板。同时，它还以某种方式支持用户定义的用户网络安全事件。

　　8、支持分布式入侵检测

　　DIDSystem能够支持多个分布式IDS探针，对多个网段同时进行入侵检测预警与响应，支持多达50个Sensors。

　　二、主要特点

　　1、网络数据流截获引擎速度快，在100M网络中当网络流量保持在60%时仍然可以监控100%的包，意味着每秒可以分析17,000个数据包

　　2、采用透明工作方式。接入系统，无需对网络的结构及设置作任何改动；对网络通讯不附加任何延时，不影响网络传输的效率。

　　3、包重组能力强

　　4、过滤器效率高

　　5、解码能力强

　　6、采用远程监控模式。可以对每个探测器进行远程配置，并支持加密通讯和认证。

　　7、能进行运行状态实时监测，远程启停管理。

　　8、具有多协议分析支持，可以进行应用解码，可进一步对数据包的内容进行分析处理。

　　9、采用集中管理的分布式工作方式，可以监测多个网络出口或应用于广域网络监测，发现可疑的网络活动，对恶意网络连接作出反应。

　　10、以安全策略模板，安全事件，安全事件响应方式支持安全策略定义

　　11、根据放置的特点，可以监测对防火墙的攻击；可以源源本本地记录网络活动，作为计算机系统日志的补充，而系统日志是有可能被黑客篡改抹去痕迹的。