东软安全产品资料

1.1.1NetEye IDS 2200功能特性

1.1.1.1强大的攻击入侵检测功能

支持3400种以上的特征库

NetEye IDS根据数据流智能重组，轻松处理分片和乱序数据包。利用统计与模式匹配，异常分析，检测3400多种攻击与入侵行为。系统提供默认策略，用户也可以方便的定制策略。使用数据库存储攻击与入侵信息以便随时检索。系统还提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。管理员可根据资料加强系统安全，并追究攻击者责任。

支持高级用户自定义检测规则

不同行业用户管理网络面临的安全问题有时各不一样，NetEye IDS为高级用户提供了自定义检测事件编辑功能，用户可以根据自身网络应用特点添加需要检测的安全事件。

特征库定期升级

NetEye IDS固定每周提供特征库的升级，当遇到重大安全事件或者突发安全事件时，提供及时升级，如针对冲击波、振荡波的及时升级。

与国际标准同步

根据CVE标准，以策略模板的形式预存了3000种多种攻击特征，管理员可以直接使用预存的策略，或者继承原有的策略，根据自己的特殊业务需求进行修改和补充，灵活地制定攻击检测策略。

根据BID标准对事件进行描述，将所能对应的攻击事件注明了相应的BID编号，便于用户更为详细的了解事件的详细内容。

检测ARP攻击

针对当前网络中常见的ARP攻击现象，通过地址的绑定技术，全面解决网络中的ARP 欺骗攻击，保证网络中的“纯净”。

1.1.1.2全面的审计功能

详尽的内容恢复，支持多种常用协议

NetEye IDS针对十几种常用的应用协议（SMTP、POP3、TELNET、FTP、HTTP、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等）具备内容恢复功能。NetEye IDS实现完全记录通信的过程与内容，并将其回放。支持自定义协议的内容恢复，便于用户根据自己的业务需求进行扩充。此功能可用于监控内部网络中的用户是否滥用网络资源、是否窃取帐户进行非法访问、是否进行非法授权，从而发现网络中的机密信息泄露，直接获取犯罪分子活动信息。

应用审计功能

NetEye IDS针对十几种常用的应用协议（HTTP、 FTP、SMTP、POP3、TELNET、IMAP、NNTP、MSN等），记录：服务器的Banner信息、访问的URL地址、用户名等关键信息。

连接审计功能

NetEye IDS具备针对所有协议的网络连接审计功能，记录所有网络连接的时间、地址、端口、数据量等信息，并可以按照时间、地址、端口等条件进行查询统计，可以使用多种图形方式显示统计结果。

内容检测审计

可以针对HTTP、SMTP、POP3、IMAP、NNTP等最常用协议进行HTTP URL地址、HTTP 正文、发件人、收件人、邮件主题、邮件正文等项进行内容检测，可以针对特定站点、用户、特定内容进行重点审计与监控，有利于对通过网络的犯罪行为进行审计。

黑名单审计

NetEye IDS提供针对某些可疑主机和应用重点审计的功能。通过在NetEye IDS的黑名单中配置可疑主机和可疑的应用，NetEye IDS更专注于审计这些主机和应用所产生的网络应用行为，而对其它主机和应用不进行相关审计。

1.1.1.3网络行为实时监控和嗅探

网络实时监控

NetEye IDS实时监控网络当前连接，显示网络用户信息，可随时断开可疑连接，最大限度的保证网络安全，实时监控网络当前流量，便于管理员发现网络异常，定位网络故障。

网络连接嗅探

NetEye IDS具有网络分析器功能，能够给出当前网络安全状况报告，能够对数据包进行解码，对MAC层及以上各协议层每个字节进行解释，并以友好的方式显示给用户。

主机信息收集

NetEye IDS能够自动获取网络中的主机信息，包括：IP地址、MAC地址、用户名、所属的组，为排除网络中的ARP攻击，提供MAC地址定位查询功能。

主动扫描探测

内置主动扫描器，入侵检测产品通常在攻击发起后才能检测出来，NetEye IDS首次在IDS系统中增加了主动探测被监控主机的功能，主动发现被监控主机中所存在的安全配置隐患、端口开放隐患、用户管理隐患等，给出当前网络安全状况报告，从而做到防患于未然。

1.1.1.4管理与响应

分布式结构，监控大型网络，支持多级管理

NetEye IDS可将探测引擎安装于大型网络的各个物理子网中，分布式监控网络的各个部分，一台管理器可管理多台服务器，达到分布安装，全网监控，集中管理，同时支持多级管理结构，适用于省规模以上的多级网络结构的，各级可独立管理IDS引擎，也可以由最高级管理中心对全网的IDS引擎进行集中的管理。

管理角色划分

用户角色分为：用户管理员、审计管理员、安全管理员。不同的角色拥有不同的操作权限，更能保证系统的安全。

专有用户管理器

设定专门的用户管理员对使用者的身份进行管理，同时又对用户管理员的权限做限制，是当前安全产品对于使用者身份进行管理的一个趋势，NetEye IDS采用专用的用户管理器对IDS的使用者的身份进行管理，从而大大提高了IDS系统自身的安全性。

集中管理器

通过集中管理器，可集中管理多个探测引擎，实现了：

对探测引擎进行统一的规则库升级、统一的安全策略下发。

所有的探测引擎向集中管理器的报警中心提交报警事件，由报警中心集中进行管理。

通过集中管理器，可以实时监控各个探测引擎的状态。

双重口令认证功能

登陆认证采用双重口令认证方式，大大增加了使用人员身份的合法性，从而保证了，IDS系统自己安全，用户口令支持双密码策略，如果用户设置为双密码，那么在认证的时候