南京入侵检测IDS-2050

功能模块简介


NetEyeIDS入侵监测系统2.2主要包括以下主要功能模块:


网络攻击与入侵检测功能


利用数据流智能重组,轻松处理分片和乱序数据包。综合使用模式匹配,异常识别,统计分析,协议分析,行为分析等多种方法综合检测3700种以上的攻击与入侵行为。系统提供默认策略,用户也可以方便的定制策略。系统自带数据库存储攻击与入侵信息以便随时检索。系统还提供详细的攻击与入侵信息,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。并可采取实时报警,声音报警,记录到数据库,电子邮件报警,SysLog报警,SNMPTrap报警,Windows日志报

警,Windows消息报警,切断攻击连接,以及和防火墙联动,运行自定义程序等多种响应方式。管理员可根据检测到的攻击信息加强系统安全,并追究攻击者责任。举例如下:

策略编辑:用户可根据自身网络状况定义相应策略。有效的提高了入侵检测的针对性和有效性。同时,用户也可自定义攻击检测规则,扩充检测范围。


多种通信协议内容恢复功能


NetEyeIDS2.2入侵监测系统针对多种常用的应用协议(HTTP、FTP、SMTP、POP3、TELNET,NNTP,IMAP,DNS,Rlogin,Rsh,MSN,YahooMSG)数据连接的内容恢复的功能,能够完全记录通信的过程与内容,并将其回放。并可自定义协议,便于扩充。此功能对于了解攻击者的攻击过程,监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。举例如下:

?HTTP通信内容恢复:

可恢复HTTP通信的所有内容,包括文本和图形。包括原始的会话信息。便于分析基于HTTP协议的攻击行为。





5典型应用示例





简单区域网应用示例



此种区域网连接较为简单,内部网络中各机构的主机使用共享式HUB连接到交换机上,或主机直接连接到交换机上,交换机不设VLAN,交换机再通过路由器接入INTERNET。这种情况下,将NetEyeIDS监测主机接到交换机的广播口(监听口)即可监听到内部网络间的所有通信及内部网络到INTERNET的所有通信。