超越传统IDS

东软NetEye IDS 2.2集审计、监测、管理功能于一身

文章来源：中国计算机

    在网络安全发展的今天，IDS（入侵检测系统）在网络环境中的使用越来越普遍。作为防火墙的合理补充，入侵检测技术能够帮助系统有效对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。
    但是，随着网络安全的不断地向前推进，传统的IDS越来越不能满足用户的需求，这些不足主要表现在以下方面：
　　1.高误警（误报）率
　　误警的传统定义是将良性流量误认为恶性的，广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过高以及用户对误警概念的拓展。
　　2.产品适应能力低
　　传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。
　　3.大型网络的管理问题
　　很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上日程。首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立、配置以及更新问题。
　　4.缺少防御功能
　　检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。
    专业手段解决传统IDS弊端
    针对传统IDS的不足，国内安全领导厂商东软公司推出了具有自主版权的网络入侵监测系统——NetEye IDS 2.2，它利用独创的数据包截取技术，对网络进行不间断的监控，可扩大网络防御的纵深；同时，它采用先进的基于网络数据流实时智能分析技术，判断来自网络内部和外部的入侵企图，进行报警、响应和防范；它还具备强大的网络信息审计功能，可对网络的运行、使用情况进行全面监控、记录、审计和重放，使用户对网络的运行状况一目了然；最后，它还可提供网络嗅探器和扫描器，用于分析网络的问题、定位网络的故障。
    NetEye IDS 2.2不但可以保障网络的安全，同时可以保障网络的健康运行。NetEye入侵检测系统不需要用户的干预即可对其自身的数据库进行自动维护。其学习和使用方法及其简易，不会影响网络的正常运行，是完整的网络审计、监测、分析和管理系统。
    NetEye IDS 2.2由两部分组成
    NetEye IDS 2.2采用了客户/服务器结构，由检测引擎和管理主机组成。
检测引擎：其检测引擎是一个高性能的专用硬件，运行专用的安全操作系统，对网络中的所有数据包进行记录和分析。在重组网络数据流的基础上，综合利用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。
    管理主机：它是运行于Windows操作系统的中文图形化管理软件，使用加密通道和检测引擎安全通信，可以查看分析一个或多个检测引擎，进行策略配置以及系统管理，显示攻击事件的详细信息和解决对策，恢复和重放网络中发生的事件，并可提供工具分析网络运行状况，还可产生图文并茂的报表输出。
    超越传统意义IDS
    由于长期以来，IDS的“漏报”和“误报”问题，作为IDS的“老大难”，一直困扰着用户。对此，东软NetEye IDS 2.2从“应用为先”出发，在全线产品中严格贯彻这一思想，基于“全面关注网络健康”的管理理念，全面整治IDS的“软肋”。
    NetEye IDS 2.2利用数据流智能重组，轻松处理分片和乱序数据包，并综合使用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法，可综合检测1700种以上的攻击与入侵行为；同时，该系统提供默认策略，用户也可以方便地定制策略；而且，该系统还自带数据库存储攻击与入侵信息，以便用户随时按需检索；另外，该系统还可提供强大的网络信息审计功能，可对网络的运行、使用情况进行全面地监控、记录、审计和重放，使用户对网络运行状况一目了然。
    这样，在审计和监控等多项功能上，得到加强的东软NetEye IDS已经赋予了IDS更多的创新和实用性能，它再也不是传统意义上的IDS，它是适用于用户需求，保护用户网络健康的新型IDS。
    此外，对于NetEye IDS 2.2而言，不仅仅只在“漏报”和“误报”这两方面做了调整和改善，它还引进并采用了多种先进技术，在实用的基础上做到了稳定、高效、易用、易维护。其高效独特的数据截取技术可直接从内核接收网络数据，减少中间环节，缩短了系统调用时间，从而提高了截取网络数据包的速度和效率；其系统运行效率高，可以监测高速网络，丢包率极低；其完整的数据流恢复技术科可提供完整的数据重组、恢复技术，把网络连接作为数据流分析，而不是一个个孤立的数据包，可完全处理数据分片和乱序的问题。