支持IPv4 抗应用型 DOS 攻击检测,如 HTTP Flood、DNS query flood 等攻击检测;
内置特征库数量 3000+,支持检测规则库 11000+,兼容 CVE/CNCVE,支持事件集自定义自动和手动两种更新;
支持自动和手动协议端口重定位(例如指定 8080 端口为 http);
实时攻击源检测、攻击事件记录。
支持协议自识别与协议插件技术,可准确识别非常规端口的协议和新型协议;
支持网络入侵事件、流量异常事件等多种异常检测;
支持会话控制功能,要求能够基于数据方向,安全域、和IP 地址进行会话数限制,支持并发限制、新建连接限制;
支持入侵策略、告警策略、安全策略和冗余策略等策略的配置。
支持入侵事件实时显示,并图形化展示;
支持重点主机资产安全威胁可视化,至少包含针对特定目标的入侵事件,事件等级及趋势排行,包括针对特定目标的安全事件时间轴回溯。
可以根据最近时间(分、小时)导出入侵报表;
支持导出日报或者月报,并存在历史报表中(可查看、下载,重启不丢失)。
支持三权分立,包括系统管理员、安全管理员和安全审计员,每个角色分配不同的权限;
与工控信息安全监管与分析平台进行联动,将入侵日志、操作日志、攻击日志等日志信息外发到工控信息安全监管与分析平台上存储分析。
缓冲区溢出、SQL注入、暴力破解DDOS攻击等各类黑客攻击和恶意流量进行实时检测及报警。
通过流量分析、攻击检测和应用识别功能网络中的流量可以清晰、直观的展现在用户面前,方便用户及时发现威胁。
采用协议分析技术,从而提高入侵检测的检测效率,降低误报率和漏报率。
内置强大的特征库数量,并定期进行维护更新,能检测出典型漏洞的攻击行为,并及时告警。
通过零拷贝技术、多核处理等先进技术完成数据检测,加快处理效率,提高检测效率。
可对原始数据、攻击报警数据、管理日志等进行分类统计、关联分析,生成多维度相关报表。