中联绿盟信息技术(北京)有限公司自主研发的网络入侵检测系统(“冰之眼”ICEYE)是NSFOCUS系列安全工具中的一款专门针对入侵行为监控和报警的网络安全产品。该产品为专用硬件系统,支持多级分布式的部署方式,可最大限度地满足大规模的入侵检测部署需求。在分析报告中可以清楚的了解各网段的攻击和蠕虫活动的情况、每个安全问题的详尽的解决方案、为企业网络安全维护提供了强有力的保障。
1.入侵检测能力
- 强大的入侵检测底层技术
覆盖广泛的攻击特征库:“冰之眼”入侵检测系统携带了超过1900条经过仔细检测与时间考验的攻击特征,由著名的NSFocus安全小组精心提炼而成。针对每个攻击均附有详细描述和解决办法,对应NSFocus ID、CVE ID、Bugtraq ID,管理员直接点击里面的安全补丁URL连接可以直接将系统升级到最新版本,免除遭受第二波的攻击。
IP碎片重组与TCP流汇聚:“冰之眼”入侵检测系统具有完美的IP碎片重组与TCP流汇聚能力,能够检测到黑客采用任意分片方式进行的攻击。
协议识别与深度分析:“冰之眼”入侵检测系统深入分析了接近100种的应用层协议,包括HTTP,FTP,SMTP等,也包括了木马、后门、P2P应用、IMS系统、网络在线游戏等多种应用。
攻击结果判定:“冰之眼”入侵检测系统能够准确判断包括扫描,溢出在内的绝大多数攻击行为的最终结果。
协议异常检测:“冰之眼”入侵检测系统具备了强有力的协议异常分析引擎,能够准确发现几乎100%的未知溢出攻击与0-day Exploit。
- 领先的数据处理能力
GIGAbit线速 (Line-Speed):“冰之眼”入侵检测系统在全部检测功能、全部规则集打开的情况下具有GIGAbit线速的分析能力。
多监听口: “冰之眼”入侵检测系统根据型号可以配置1~4个硬件监听口。监听口完全支持即插即用,用户在增加监听的网段时仅仅需要购买独立的硬件监听模块插上即可完成升级,而不需要购买单独的探测器引擎。极大地保障了用户的投资,降低了使用维护成本。
- 多种响应方式
TCP Killer:“冰之眼”入侵检测系统能够实时地切断基于TCP协议的攻击行为。
防火墙阻断:“冰之眼”入侵检测系统可以与超过10种的防火墙产品进行联动阻断入侵者。如Checkpoint FW-1、Netscreen、天网、天融信、卫士通龙马等。
- 及时的升级与技术支持
实时在线升级:“冰之眼”入侵检测系统所有部件包括攻击规则库与探测器引擎均可实时自动在线升级。NSFocus安全小组24小时不间断地跟踪最新的安全信息,在第一时间提炼出攻击特征加入到冰之眼规则库中。
升级方式:“冰之眼”入侵检测系统支持实时控制台在线升级、串口升级、SSH远程升级。
更新周期: 绿盟科技承诺:日常升级至少每7个工作日一次,重大安全问题升级在全球首次发现后三个工作日内完成。
- 支持直观协议回放
冰之眼系统支持记录网络的通信报文,并解码回放。目前支持:HTTP、SMTP、FTP、Telnet、POP3协议。
2.入侵管理特性
- 多层分布式集中监控
冰之眼中央控制台能够灵活部署在网络的任意节点,控制台支持任意层次级联部署与分布式部署。强有力的集中监控体系提供给管理员统管全局的能力,配合冰之眼新一代的探测引擎,管理员可以在最短的时间内对于入侵风险作出最快速的反应。
- 攻击统计
作为新一代NIDS入侵管理观念体现,冰之眼控制台不再局限于以往告警日志高中低分类显示方式,而是转变为以各种实时攻击统计为主。通过查看这些实时的数据,管理员从中获得当前网络的总体安全状态。控制台对于以下类别进行了统计计数:总的事件、归并后的事件、过滤的事件、攻击事件、网络监控事件、成功的攻击数、攻击成功率、失败的攻击数、攻击失败率、高风险攻击、中风险攻击、低风险攻击、防火墙阻断响应、TCPKill响应。
- 实时告警分类
实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。冰之眼控制台可以按多种标准动态地切换告警日志的分类。目前支持:攻击结果(成功-失败-未知)、高中低风险、服务、攻击流行程度、攻击采用的技术手段、攻击源-目的-事件名称、攻击时间等。对于每条攻击日志可按事先的定义以不同的颜色高亮显示。
| 共2页: 1 [2] 下一页 | ||
|
