江苏全新入侵检测

功能模块简介


NetEyeIDS入侵监测系统2.2主要包括以下主要功能模块:


网络攻击与入侵检测功能


利用数据流智能重组,轻松处理分片和乱序数据包。综合使用模式匹配,异常识别,统计分析,协议分析,行为分析等多种方法综合检测3700种以上的攻击与入侵行为。系统提供默认策略,用户也可以方便的定制策略。系统自带数据库存储攻击与入侵信息以便随时检索。系统还提供详细的攻击与入侵信息,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。并可采取实时报警,声音报警,记录到数据库,电子邮件报警,SysLog报警,SNMPTrap报警,Windows日志报

警,Windows消息报警,切断攻击连接,以及和防火墙联动,运行自定义程序等多种响应方式。管理员可根据检测到的攻击信息加强系统安全,并追究攻击者责任。举例如下:

策略编辑:用户可根据自身网络状况定义相应策略。有效的提高了入侵检测的针对性和有效性。同时,用户也可自定义攻击检测规则,扩充检测范围。


多种通信协议内容恢复功能


NetEyeIDS2.2入侵监测系统针对多种常用的应用协议(HTTP、FTP、SMTP、POP3、TELNET,NNTP,IMAP,DNS,Rlogin,Rsh,MSN,YahooMSG)数据连接的内容恢复的功能,能够完全记录通信的过程与内容,并将其回放。并可自定义协议,便于扩充。此功能对于了解攻击者的攻击过程,监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。举例如下:

?HTTP通信内容恢复:

可恢复HTTP通信的所有内容,包括文本和图形。包括原始的会话信息。便于分析基于HTTP协议的攻击行为。





东软IDS技术白皮书

由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,一句话,整个社会对网络的依赖程度越来越大。众多的企业、各种组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分利用网络的信息和资源。网络已经成为社会和经济发展强大动力,其地位越来越重要。伴随着网络的发展,带来了很多的问题,其中安全问题尤为突出。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的网络安全已经成了网络发展中重要的事情。

网络面临的主要威胁



日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受巨大的经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全问题,首先必须搞清楚触发这一问题的原因。总结起来,主要有以下几个方面原因:

(1)黑客的攻击:黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有20多万个黑客网站,这些站点介绍一些攻击方法和攻击软件的使用以及系统存在的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,是网络安全的主要威胁。

(2)管理的欠缺:网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万(3)网络的缺陷:因特网的共享性和开放性使网上信息安全存在先天不足。因为其赖以生存的TCP/IP协议族,缺乏相应的安全机制,而且因特网初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。

(4)软件的漏洞或“后门”:随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。

(5)网络内部用户的误操作,资源滥用和恶意行为:再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的资源滥用做出反应。