格瑞特东方舟入侵防御系统

防火墙软件

格瑞特东方舟入侵防御系统使用基于网络多核处理器的硬件进行深层数据包分析处理，利用高效的网络入侵检测引擎实时对网络上的传输数据进行深度分析。整个系统的核心思想为基于网络环境威胁变化的实时主动防御技术，主要包括入侵检测、网络安全态势实时定量分析、基于网络环境威胁变化的网络入侵动态响应。系统从三个层面分别完成不同的功能：

1)数据层面的处理由网络处理器完成，主要完成数据包的存放、IP数据报碎片重组和TCP流重组等工作，包控制器主要完成控制层面的处理，包含2-4层协议解析、事件检测和事件响应等工作，整个系统的初始化工作也由包控制器完成。本项目采用的数据层面与控制层面相分离的技术，有效避免了数据的“搬动”，实现了“零拷贝”，提高了系统的处理效率，减低了对I/O的要求；

2)内容处理同样也分为数据层面与控制层面相分离的技术，沈阳小程序设计

数据层面的处理主要由内容控制处理器与网络处理器协作完成，主要进行对应用层协议的解析和内容检测，控制层面由内容控制处理器完成，主要进行检测之后的后续工作，如报警与更新特征库等工作；

3)整个系统的管理工作由外部控制接口模块来完成，主要工作包括系统的汇海、停止等。数据报处理与内容处理采用了流水线的工作方式，进一步提高了系统的性能。

格瑞特东方舟入侵防御系统使用基于网络多核处理器的硬件平台进行深层数据包分析处理，利用高效的网络入侵检测引擎实时对网络上的传输数据进行深度分析，确保系统不但在接入千兆网络时具有千兆的处理能力，同时还要求其在检测完数据报并采取了相应的行动后，仍保证千兆的网络流量。。整个系统的核心思想为基于网络环境威胁变化的实时主动防御技术，主要包括入侵检测、网络安全态势实时定量分析、基于网络环境威胁变化的网络入侵动态响应。

在网络入侵检测引擎中，我们有机融合了特征检测、异常检测以及网络免疫三种入侵检测技术，利用特征检测与异常检测技术快速准确识别出已知的各种网络攻击，在此基础上引入基于免疫的网络入侵动态检测技术，使检测引擎具备未知攻击以及已知攻击变种的学习能力，与此同时，我们利用神经网络等数据融合手段对上述三种检测结果进行判决，确定最终的检测结果。该方法有机融合了特征检测、异常检测以及网络免疫等方法，兼顾了三者的优点，克服了各自的不足，可随真实网络环境同步动态演化，具备未知攻击以及已知攻击变种的学习能力，有效降低了系统检测的误报率与漏报率。

网络安全态势实时定量分析主要对当前系统面临攻击时的安全风险进行定量评估，包括网络以及网络中的任意主机面临所有攻击时的综合风险以及面临某一种攻击时的单一风险等系统当前风险指标，利用这些指标对当前系统的安态势进行实时定量的描述。

基于网络环境威胁变化的网络入侵动态响应主要依据前面获得的当前网络系统的风险指标，对不同风险的网络入侵采取有针对性的动作，例如, 在风险程度很高时, 可考虑迅速采取一些紧急、果断的安全措施, 如紧急关闭危险端口、限制网络连接、调整网络流量、停止高风险的服务、增加预防措施、甚至在非常情形下紧急关闭受害主机等，确保当网络系统遭遇大规模网络入侵时, 系统不会崩溃, 避免造成巨大损失。高可靠性设计主要包括双机热备、断电直通等手段，确保系统的强壮性。另外，为确保系统的高稳定性，我们在格瑞特IPS设计和生产时严格遵从军工产品标准，确保MTBF大于50000小时。

格瑞特东方舟入侵防御系统的体系架构包括三个主要组件：控制中心、网络引擎、升级站点，方便各种网络环境的灵活部署和管理。

格瑞特东方舟入侵防御系统体系架构