文档介绍:“冰之眼”::2004年3月1日最后更新时间:2003年8月4日版权说明©版权所有1999-2004,中联绿盟信息技术(北京)有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属中联绿盟信息技术(北京)有限公司所有,受到有关产权及版权法保护。任何个人、机构未经中联绿盟信息技术(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息“冰之眼”、ICEYE、NSFOCUS均是中联绿盟信息技术(北京)有限公司注册商标,受商标法保护。获得帮助安全相关资料可以访问公司网站:相关最新信息可以访问网址:epage/products/。本产品的技术支持可以拨打电话:010-68437120产品支持电子邮件地址:product@。公司信息中联绿盟信息技术(北京)有限公司公司网站:地址:北京市海淀区北洼路4号益泰大厦5层邮编:100089电话:010-68438880传真:010-68437328上海分公司地址:上海市南京西路758号博爱大厦24层A座邮编:200041电话:021-62179591/92传真:021-62176862广州分公司地址:广州市人民中路555号美国银行中心1702邮编:510180电话:020-81301251/52传真:020-81301251/52目录一、网络入侵检测技术简介 5二、“冰之眼”产品简介 10三、产品特性 17四、产品规格与指标 19五、典型部署与使用 、防火墙联动 22六公司简介 23一、 今天,越来越多的蠕虫、病毒、木马和黑客成功突破了防火墙的保护,很明显,我们需要网络入侵检测系统。绿盟科技冰之眼网络入侵检测系统能够协助您:免除来自数千种蠕虫、病毒、木马和黑客的威胁免除来自拒绝服务攻击的威胁免除您的网络因为各种IMS(实时消息系统)、(IPDefragmentation)入侵者将攻击报文拆分成IP碎片后发送,试图逃避NIDS的侦测。IP碎片重组将这些碎片重新拼装后分析。由于不同的操作系统采用的重组方式不同,NIDS必须针对所有的可能进行重组。TCP会话跟踪(TCPSessionTrack),但却可能诱使NIDS发出一个攻击信息的误报。NIDS将TCP特征检测建立在TCP会话的基础上,从而避免了此类误报,并提高了效率。TCP流汇聚(TCPStreamReassembly),m,d,.,e,x,e七个TCP报文后发送,同样可以逃避NIDS的检测。TCP流汇聚能够从多个TCP报文中检测出类似攻击行为。协议分析(ProtocolAnalysis)协议分析分为应用层协议解码与应用层状态跟踪两个部分。在HTTP协议的GET请求报文中,前者将请求拆解为各个域,然后进行相应的模式匹配。后者用于跟踪该请求的状态,从中可以判断出攻击是否成功。协议分析是几乎所有新一代入侵检测技术的基础。深入而细致的协议分析能够极大地提高检测的准确性,降低误报率。特征检测(模式匹配)(SignatureDetection) 将协议解码后的域值与事先精心提取的攻击特征(规则)进行匹配,从中发现潜在的攻击行为。基于特征(规则)的检测是一项传统而成熟的入侵检测技术,提供了很高的准确性与广泛性。关联分析(Correlative)实时的关联分析引擎能够发现基本NIDS引擎所不能发现的攻击事件,如口令猜测等,是基本引擎的一个重要的补充。日志归并(Merger)当前入侵检测系统面临的一个重要问题是如何将最有用的攻击信息快速地呈现在管理员面前,尽可能地减少或消除无用的信息。日志归并根据一系列事先制定的策略,将多条告警日志合并为一条,从而极大地减少了告警日志的数量。同时也可在一定程度上缓解NIDS遭受Flood的可能。网络流量异常(T