入侵检测系统PPT.ppt

东软入侵检测系统PPT Copyright2010ByNeusoftCorporation Allrightsreserved 看远一步 可以做的更多 东软公司 NetEyeIDS主要用途NetEyeIDS技术特征典型案例 IDS 安全体系的两大基石之一 NetEye入侵测系统 IDS 采用深度分析技术对网络进行不间断监控 分析来自网络内部和外部的入侵企图 并进行报警 响应和防范 有效延伸了网络安全防御层次 同时 产品提供强大的网络信息审计功能 可对网络的运行 使用情况进行全面的监控 记录 审计和重放 使用户对网络的运行状况一目了然 功能特色 完整的事件特征库 拥有5200 事件特征定义 广泛覆盖已知网络异常 攻击和应用协议特征 能够全面掌握网络行为态势 按需拉取 与 精简上报 相结合 提供本地海量存储 采用 按需拉取 和 精简上报 相结合的集中管理机制 能够在保证数据详细程度的前提下最大限度降低事件集中汇总所造成的广域带宽消耗 特别适合于广域环境下多级部署及集中运维管理 内容恢复 HTTP FTP SMTP POP3 TELNET NNTP IMAP DNS Rlogin Rsh MSN YahooMSG等 记录通信过程与内容并将其按照该应用界面风格进行直观回放 多重报警方式 实时报警 声音 记录日志 电子邮件 SysLog SNMPTrap Windows日志 Windows消息 切断攻击连接以及和防火墙联动 运行自定义程序等多种方式 简便的管理和部署 支持802 1q PPPoE等协议解码 可采用多探头镜像 网桥串联 硬件Bypass 等接入方式进行快速部署 对用户的网络正常运行无任何影响 认证资质 5 NetEyeIDS主要用途NetEyeIDS技术特征典型案例 技术优势 数据提取方式 7 按需提取 逐级精简引擎端内置数据库节约带宽 特别适用于广域多级部署 通用数据上传方式 按需提取的上报方式 事无巨细 喋喋不休 海量数据 堵塞网络 丢包 漏报 技术优势 身份管理安全 NetEyeIDS独有的双重密码认证登录验证体系根据需要采用单密码认证或双重密码认证根据不同的管理需求 分为三种权限 分别是 用户管理员 安全管理员 和 审计管理员 8 技术优势 应用审计 NetEyeIDS提供了强大的应用审计功能 针对常见的应用协议均可做到详细的审计记录 并为事后的报文回放提供原始依据 9 技术优势 应用审计数据还原 10 NetEyeIDS具有强大的报文还原能力 可真实的记录网络中的流量事件 并在后续的电子取证中真实的还原出来 让管理员轻松看到当时网络中的状态 当前可回放如下协议事件 SMTPPOP3TELNETFTPHTTPNNTP MSNIMAPDNSYahooMessageRloginRsh 技术优势 报表 NetEyeIDS提供了灵活的报表方式 可根据不同的报表模板生成报表 如攻击事件统计分析 发生次数最多的10个事件 发生攻击事件最多的10个源IP等条件生成不同的报表 同时支持以协议为条件生成报表 如根据HTTP FTP等协议生成报表的功能 11 技术优势 连接审计 NetEyeIDS提供了详细的连接审计记录功能 针对某一地址所使用的不同协议可做详细的连接审计 包括源 目地址 源 目端口 连接状态和连接的数据量大小的审计 12 灵活的策略编辑 NetEyeIDS内置了七种检测策略集 可直接采用其中一种策略使用 系统同时提供了策略集的继承功能 用户可通过继承功能产生新的可编辑的策略集根据实际需求 对策略集进行编辑 编辑项目包括检测事件的有效性 和响应方式的指定 13 自定义事件 NetEyeIDS为高级用户提供了自定义事件编辑器 用户可根据实际网络环境的需要 定制特定的事件检测方法 使得IDS具备检测某些极端事件的能力 端口迁移重定向 14 网络信息收集功能 对网络中资产的快速收集功能 批量查找网络中的资产所对应的主机名 组名 IP地址 MAC地址和工作时间段等信息 大大节省了管理员手工查找资产信息的时间 15 网络嗅探器 16 支持网络嗅探器 对网络中的数据流进行分析 解码 查找网络问题 主动检测 NetEyeIDS除具备IDS所必需的被动检测能力外 同时具备独有的主动探测检测功能 采用被动检测和主动检测相结合的方式 更高速更准确的探知攻击事件的发生 并大大缩短了攻击事件的响应时间 主动探测的信息包括资产基本信息 开放的端口等 17 实时数据流量 在实时数据流量窗体中可通过折线图查看当前网络中可监听到的网络实时数据流量信息 包括TCP UDP ICMP三种协议的数据包数和字节数六种数据流量 18 响应方式 NetEyeIDS提供了多种响应方式 可利用策略集定义的方式对某一条检测事件指定其特有的响应方式 系统指定的响应包式包括如下11种 19 记录日志实时报警报警切断连接防火墙联动Syslog SNMPTrap播放声音Windows日志Windows消息运行程序 集中管理 树型结构 20 总控中心 一级子控中心 二级子控中心 集中管理 数据上报 21 Internet 总部 分支机构A 分支机构B 一级子控制中心 总控制中心 二级子控制中心 兼容性标准 超过5200条的详实描述 影响的平台和解决方法入侵规则库兼容CVE和BID标准 支持CVE和BID编号 22 基于端口绑定的数据重组功能 23 外部网络 交换机 IDS 数据重组 端口1 端