入侵检测系统

功能特色
✓ 完整的事件特征库：拥有5200+事件特征定义， 广泛覆盖已知网络异常/攻击和应用协议特征， 能够全面掌握网络行为态势；
✓ “按需拉取”与“精简上报”相结合：提供本地 海量存储，采用“按需拉取”和“精简上报”相 结合的集中管理机制，能够在保证数据详细程度 的前提下最大限度降低事件集中汇总所造成的广 域带宽消耗，特别适合于广域环境下多级部署及 集中运维管理；
14
网络嗅探器
支持网络嗅探器，对网络中的数据流进行分析、解码， 查找网络问题。
15
主动检测
NetEye IDS除具备IDS所必需的被动检测能力外，同时具备独 有的主动探测检测功能，采用被动检测和主动检测相结合的方 式，更高速更准确的探知攻击事件的发生，并大大缩短了攻击 事件的响应时间，主动探测的信息包括资产基本信息、开放的 端口等。
分支机构A
总控制中心
总部
20
兼容性标准
超过5200条的详实描述、影响的平台和解决方法 入侵规则库兼容CVE和BID标准，支持CVE和BID编号
21
基于端口绑定的数据重组功能
外部网络
端口1
将IDS上的两个端口做绑定，然后将两 个端口所收到的数据进行重组。
交换机 端口2
数 据 重 组
IDS
只可做两个端口的绑定，如果有4个 端口，只可做两两绑定。
〓 NetEye IDS主要用途 〓 NetEye IDS技术特征 〓 典型案例
IDS——安全体系的两大基石之一
NetEye入侵测系统(IDS) 采用深度分析技术对网络进行不间断监控，分析来自网络 内部和外部的入侵企图，并进行报警、响应和防范，有效延伸了网络安全防御层 次。同时，产品提供强大的网络信息审计功能，可对网络的运行、使用情况进行 全面的监控、记录、审计和重放，使用户对网络的运行状况一目了然
当出口流量很大大的时候，上行和下行的流量之和将会超过1G，这样，IDS的单一端口将无法承 受较大的流量而丢包，此时可以考虑将出口中上行或下行的流量进行分流，例如：将边界上行 流量镜像到端口1上，将下行流量镜像到端口2上，分别通过IDS的两个端口获取数据包，然后进 行重组处理。
22
〓 NetEye IDS主要用途 〓 NetEye IDS技术特征 〓 典型案例
SMTP POP3 TELNET FTP HTTP NNTP
MSN IMAP DNS Yahoo Message Rlogin Rsh
9
技术优势--报表
NetEye IDS提供了灵活的报表方式，可根据不同的报表模板 生成报表，如攻击事件统计分析、发生次数最多的10个事件、 发生攻击事件最多的10个源IP等条件生成不同的报表。
✓ 内容恢复：HTTP、FTP、SMTP、POP3、 TELNET、NNTP、IMAP、 DNS、 Rlogin、 Rsh、 MSN、 Yahoo MSG等，记录通信过程 与内容并将其按照该应用界面风格进行直观回放；
✓ 多重报警方式：实时报警、声音、记录日志、电 子邮件、SysLog、SNMP Trap、Windows日 志、Windows消息、切断攻击连接以及和防火 墙联动、运行自定义程序等多种方式；
16
实时数据流量
在实时数据流量窗体中可通过折线图查看当前网络中可监 听到的网络实时数据流量信息，包括TCP、UDP、ICMP三种协 议的数据包数和字节数六种数据流量。
17
响应方式
NetEye IDS提供了多种响应方式，可利用策略集定义的方式对某 一条检测事件指定其特有的响应方式，系统指定的响应包式包括 如下11种：
7
技术优势--应用审计
NetEye IDS提供了强大的应用审计功能，针对常见的应用协 议均可做到详细的审计记录，并为事后的报文回放提供原始依 据。
8
技术优势--应用审计数据还原
NetEye IDS具有强大的报文还原能力，可真实的记录网络中 的流量事件，并在后续的电子取证中真实的还原出来，让管理 员轻松看到当时网络中的状态，当前可回放如下协议事件
12
自定义事件
NetEye IDS为高级用户提供了自定义事件编辑器，用户可根 据实际网络环境的需要，定制特定的事件检测方法，使得IDS 具备检测某些极端事件的能力。
端口迁移重定向
13
Baidu Nhomakorabea
网络信息收集功能
对网络中资产的快速收集功能，批量查找网络中的资产所 对应的主机名、组名、IP地址、MAC地址和工作时间段等信息， 大大节省了管理员手工查找资产信息的时间。
同时支持以协议为条件生成报表，如根据HTTP、FTP等协议 生成报表的功能。
10
技术优势--连接审计
NetEye IDS提供了详细的连接审计记录功能，针对某一地址 所使用的不同协议可做详细的连接审计，包括源、目地址，源、 目端口，连接状态和连接的数据量大小的审计。
11
灵活的策略编辑
NetEye IDS内置了七种检测策略集，可直接采用其中一种策 略使用，系统同时提供了策略集的继承功能，用户可通过继承 功能产生新的可编辑的策略集根据实际需求，对策略集进行编 辑，编辑项目包括检测事件的有效性、和响应方式的指定。
事无巨细，喋喋不休； 海量数据，堵塞网络； 丢包、漏报；
＜
按需提取的上报方式
按需提取，逐级精简 引擎端内置数据库 节约带宽，特别适用于广域多级部署
6
技术优势--身份管理安全
NetEye IDS独有的双重密码认证登录验证体系 根据需要采用单密码认证或双重密码认证 根据不同的管理需求，分为三种权限，分别是“用户管理员”， “安全管理员”和”审计管理员”
✓ 简便的管理和部署：支持802.1q、PPPoE等协 议解码，可采用多探头镜像、网桥串联(硬件 Bypass)等接入方式进行快速部署，对用户的网 络正常运行无任何影响。
认证资质
4
〓 NetEye IDS主要用途 〓 NetEye IDS技术特征 〓 典型案例
技术优势 --数据提取方式
通用数据上传方式
记录日志
SNMP Trap
实时报警
播放声音
报警
Windows日志
切断连接
Windows消息
防火墙联动
运行程序
Syslog
18
集中管理—树型结构
总控中心
一级子控中心 二级子控中心
树型结构 分级部署 集中管理 按需上报 层数不限
19
集中管理—数据上报
分支机构B
二级子控制中心
Internet
一级子控制中心