江苏入侵检测供应商

分布式监测应用示例



网络结构相对复杂,内部网络中各机构间使用交换式 HUB 或 从 交 换 机 连 接 到 主 交 换 机 上 , 通 过 主 交 换 机 连 接 路 由 器 接 入 INTERNET,此时,在主交换机的广播口(监听口)上无法监听到从 交换机上的机器间的通信,为了全面监控网络,捕捉内部网间的恶意 攻击与入侵行为,就需要将 NetEye IDS 监测主机接到从交换机上。这

种情况下的网络结构示意图如下:

O

操作简单,自动维护,不需用户干预

系统智能程度相当高,可用性极好。操作简单,易于掌握,自身 维护自身数据库,自动处理各种异常情况,无须用户干预,维护代价小。 系统预装默认监控规则,无须用户编写和加载。可以说是最容易使用的 IDS。

?    接入简便,不需改变现有网络拓朴结构 系统的接入非常方便,只需根据网络的物理结构将它连接到交换

机的广播口或共享式 HUB 上即可立即开始工作,支持 802.1q 和 PPPOE 等协议解码。支持多监听端口和网桥接入等监听方式。而不需要改变网络 的物理结构及网络逻辑划分和配置,原有网络拓朴结构依然完好无损,网 络通信毫无影响。

?    支持多用户分权管理和分布式部署,便于监控大型网络 管理权限细分,可进行多级用户分权管理。可安装于大型网络的 各个物理子网中,分布式监控网络的各个部分,可进行多级分布 式管理,达到分布安装,全网监控,集中管理。

?    实时监控网络当前运行状况,为用户人为监控和分析提供有力工 具提供实时连接报告,当前网络中用户行为一目了然,可以实时 地从中直接发现网络中用户滥用网络资源的情况,如访问未授权 的服务器等。另外,网络扫描等异常行为也可从中看出。

?    多样的攻击响应方式

可提供实时报警,声音报警,记录到数据库,电子邮件报警, SysLog 报警, SNMP Trap 报警  , Windows 日 志 报 警 , Windows 消息报警,切断攻击连接,以及和防火墙联动,运行 自定义程序等多种响应方式,便于管理员快速准确的对攻击做出 反应。

?    全面的内容恢复,支持多种常用协议 除了可以对已知的入侵行为进行监测外,系统还可以对网络应用 层的协议进行恢复,目前实现的主要协议有:HTTP、FTP、SMTP、

POP3、TELNET,NNTP, IMAP, DNS, Rlogin, Rsh, MSN, Yahoo、MSG。还可自定义协议,便于扩充。管理员可以很直观地看到任何

人的信件内容(包括附件)、TELNET 或者 FTP 用户所作的操作、都去过哪 些网站和看过哪些内容(包括文字和图片的再现)。通过此功能不但可以简 单的发现攻击事件,而且可以重现整个攻击过程;不但可以发现外部黑客的 攻击,而且可以发现内部用户的恶意行为;不但可以发现已知攻击,而且可 以发现未知攻击。

?    灵活的查询,报表功能 可对网络中的攻击事件,访问记录进行灵活的查询,并可根据查询

结果输出图文并茂,美观的报表。

?    自身的高度安全性和隐蔽性 系统本身采用专用硬件,运行安全的操作系统,检测引擎和管理主

机之间通讯采用 128 位加密。检测引擎为黑洞式结构,监测口无 IP,攻击者 无法发现,保证了自身的安全性和隐蔽性。

?    集成的网络管理和诊断平台 系统集成多种网络分析,诊断工具,便于发现网络故障,定位网络

问题。

?    强大的信息审计功能 全面审计网络信息,并可方便的进行备份和恢复。

?    全面的网络健康管理平台 依靠单一的技术无法处理日益复杂的网络安全和故障问题。NetEye

IDS 综合采用多种技术全面处理网络风险。通过被动监听和主动发现方式的 结合,攻击识别和内容恢复的结合,实时监控和事后审计的结合。检测攻击 和检测网络故障的结合。NetEye IDS 构成了全面的网络健康管理平台。

?    入侵规则库兼容 CVE 和 BID 标准,并在相对应的事件中添加相应 的 CVE 和 BID 编号